Microsoft mal chyby v knižnici, zraniteľné zrejme množstvo ActiveX komponentov

Microsoft mal chyby v knižnici, zraniteľné zrejme množstvo ActiveX komponentov


Spoločnosť Microsoft v utorok vydala dve mimoriadne bezpečnostné aktualizácie, ktoré opravujú dve kritické bezpečnostné zraniteľnosti v knižnici Active Template Library používanej vývojármi COM objektov, vrátane ActiveX komponentov. V dôsledku zraniteľností môžu útočníci zneužiť tieto chyby vo viacerých používaných ActiveX prvkov, vrátane napríklad prehrávača Flash.


Spoločnosť Microsoft v utorok vydala dve mimoriadne bezpečnostné aktualizácie mimo pravidelných bezpečnostných aktualizácií, ktoré spoločnosť vydáva v druhý utorok každého mesiaca.

Obe aktualizácie najmä opravujú respektíve predchádzajú zneužitiu dvoch kritických chýb prítomných v knižnici Active Template Library, ATL, od spoločnosti Microsoft. Knižnica ATL pre jazyk C++ je určená a používaná vývojármi pri vývoji COM objektov a teda aj ActiveX komponentov.

Chyby prítomné v knižnici používanej pri vývoji vo vývojárskom prostredí Visual Studio sú tak prítomné pravdepodobne vo veľkom množstve ActiveX komponentov a priamo odstrániť ich je možné až prekompilovaním týchto komponentov autormi s použitím opravenej ATL knižnice.

Ako potvrdila spoločnosť Adobe, zraniteľný je pre použitie zraniteľnej verzie knižnice ATL aj na absolútnej väčšine počítačov s Windows inštalovaný Flash prehrávač pre Internet Explorer.

Opravená zraniteľnosť CVE-2009-0901 umožňuje spustenie ľubovoľného útočníkom zvoleného kódu iba návštevou útočníkom podvrhnutej stránky pomocou Internet Explorera, ak sa na PC nachádza zraniteľný ActiveX komponent skompilovaný so zraniteľnou verziou knižnice ATL.

Zraniteľnosť CVE-2009-2493 rovnako umožňuje spustenie útočníkom zvoleného kódu iba návštevou útočníkom podvrhnutej stránky pomocou Internet Explorera. Útočník môže pomocou chyby spustiť napríklad na PC inštalované ale tzv. killbitom zakázané ActiveX komponenty, cez viacero ktorých štandardne inštalovaných vo Windows je možné zneužitím v nich prítomných chýb spustiť ľubovoľný útočníkom zvolený kód a získať kontrolu nad PC.

Knižnicu ATL v redistribuovateľnej podobe ale tiež jej vývojársku verziu vo Visual Studiu spoločnosť opravila aktualizáciou MS09-035.

Microsoft zároveň vydal veľmi dôležitú aktualizácia MS09-034 Internet Explorera. V samotnom prehliadači Microsoftu sa bezpečnostná chyba súvisejúca s ATL nenachádza, aktualizácia ale pridáva do Internet Explorera ochranu proti v súčasnosti známym spôsobom zneužitia chýb v knižnici ATL v zraniteľných ActiveX komponentoch.

zdroj DSL.sk  Viac sa dočítate tu