Service Pack 2, najnowszy zestaw poprawek dla Windows XP, który miał podnieść bezpieczeństwo systemu, sam nie jest pozbawiony błędów.

Większość użytkowników Windows XP nie zdążyła jeszcze pobrać i zainstalować Service Pack 2 (SP2), a eksperci od bezpieczeństwa grzmią, że nowy zestaw poprawek zawiera poważne błędy. Jako pierwszy informację o błędzie w SP2 podał Heise Security - niemiecki portal poświęcony zagadnieniom bezpieczeństwa.

Według opublikowanych tam informacji Attachment Execution Services wbudowany w SP2 system ostrzegający przed potencjalnie niebezpiecznymi plikami można łatwo ominąć i wykorzystać tę lukę do wprowadzenia do systemu złośliwego kodu. Wykorzystanie tego błędu wymagałoby skomplikowanych zabiegów z zakresu tzw. social engineering, niemniej jest to możliwe.

Teraz okazało się, że SP2 nie pomaga na błąd znajdujący się w przeglądarce Internet Explorer, który pozwala na infekcję komputera wirusem, jeśli użytkownik kliknie umieszczony na stronie WWW obrazek powiązany z kodem skryptu. Microsoft poinformował także, że kłopoty będą mieli również użytkownicy 64-bitowych procesorów AMD.

Zagrożenie zidentyfikowane

Błąd wykryty przez Heise Security dotyczy mechanizmu znakującego pliki pobierane z Internetu lub otrzymywane pocztą elektroniczną za pośrednictwem oprogramowania Outlook Express z identyfikatorami ZoneID. Dzięki jego zastosowaniu wiadomo, z jakiej strefy pochodzi dany plik. W zależności od źródła pochodzenia stosuje się różne poziomy bezpieczeństwa. Przykładowo, każdy plik pobrany z Internetu jest traktowany z większą ostrożnością, niż taki, który pochodzi z sieci lokalnej.

Windows XP z SP2 zapisuje informacje ZoneID na lokalnym dysku w pliku tekstowym, który jest powiązany z pobranymi plikami, i generuje ostrzeżenia, jeśli użytkownicy chcą otworzyć potencjalnie niebezpieczny plik. Jednak pewne funkcje Windows pozwalają użytkownikom otwierać pliki bez otrzymywania alertów, np. przy uruchamianiu plików z wykorzystaniem linii poleceń. Problem z ZoneID dotyczy także szybkiego aktualizowania informacji w pliku tekstowym, w momencie zmiany nazwy pobranych plików. Przez co, przynajmniej przez pewien czas, po zamianie nazwy pliku pobranego z Internetu próba jego uruchomienia nie będzie wiązała się z pojawieniem się alertu.

Większość ekspertów, łącznie z Heise Security, przyznaje jednak, że błąd nie może zostać wykorzystany zdalnie. Przeprowadzenie ataku z jego użyciem wymagałoby dużego udziału ze strony użytkownika. Dlatego Microsoft w oświadczeniu przekazanym Heise Security stwierdził, że problem nie stoi w sprzeczności z założeniami SP2 i nie wymaga opublikowania poprawki. Oficjalnie firma jednak nie potwierdza.

Groźny, niegroźny

Podobną strategię firma przyjęła jednak w zupełnie innym przypadku. Bagatelizuje bowiem błąd w przeglądarce Internet Explorer (IE), który zdaniem specjalistów jest o wiele groźniejszy od tego, który został wykryty przez Niemców. Ukrywający się pod pseudonimem http-equiv haker udowodnił, że IE w wersjach 5.01, 5.5 oraz 6 nie obsługuje bezpiecznie zdarzeń typu "przeciągnij i upuść". Wykryty błąd pozwala na skopiowanie kodu ze strefy internetowej na lokalną maszynę. Umożliwia to np. umieszczenie pliku z kodem wirusa w folderze Autostart, co w konsekwencji oznacza jego wykonanie przy następnym uruchomieniu systemu.

Zdaniem producenta Windows błąd wymaga na tyle dużego udziału użytkownika, że atak jest prawie niemożliwy do przeprowadzenia. Jednak zdaniem zajmującej się bezpieczeństwem firmy Secunia, błąd jest o wiele groźniejszy, niż sugeruje Microsoft. Według niej możliwe jest opracowanie metody infekcji, w której do umieszczenia kodu na maszynie lokalnej wystarczy pojedyncze kliknięcie obrazu na stronie WWW . Na razie Microsoft nie uważa, by konieczne było publikowanie poprawki. Tymczasowa ochrona polega na wyłączeniu obsługi aktywnych skryptów.

SP2 nie dla AMD

Microsoft opublikował także na stronach internetowych informację, że SP2 może nie współpracować z układami AMD z 64-bitowymi rozszerzeniami, np. Athlon64. Na razie wiadomo tylko, że skutkiem instalacji SP2 mogą być ciągłe restarty, jeśli maszyna skonfigurowana jest tak, by wymuszać tzw. DEP (Data Execution Prevention - zabezpieczenie przed wykonywaniem kodu umieszczonego w buforze dla danych), lub też, gdy komputer zawiera sprzęt korzystający ze sterownika Mpegport.sys.

AMD twierdzi, że problem wystąpił jedynie w przypadku jednej aplikacji: Realmagic Hollywood Plus DVD Decoder firmy Sigma Design. Według Microsoftu to tylko jedna z listy takich aplikacji i choć początkowo firma uważała, że użytkownicy komputerów z procesorami AMD nie powinni instalować SP2, ostatecznie podała receptę na rozwiązanie problemu. Polega ono na odpowiedniej konfiguracji tzw. wyjątków DEP.

Nie tylko w Redmond

Mimo całego zamieszania wokół SP2 dla Windows XP, Microsoft z pewnością nie dysponuje monopolem na błędy w oprogramowaniu. Problem dotyczy w porównywalnym stopniu oprogramowania open source.

Internet Security Systems poinformowała o krytycznym błędzie w Netscape Network Security Services (NSS) - bibliotece umożliwiającym zdalny atak na serwer WWW . Problem dotyczy implementacji protokołu Secure Sockets Layer Version 2 (SSLv2). Nawiązując takie połączenie, haker może przejąć kontrolę nad serwerami wykorzystującymi NSS, m.in. Netscape Enterprise Server oraz Sun Java System Web Server. Obsługa SSLv2 jest w nich standardowo wyłączona, jednak SSLv2 to protokół bardzo popularny i mógł zostać aktywowany.

Źródłem problemu jest metoda obsługi nowych sesji SSLv2. Oprogramowanie korzystające z biblioteki NSS nie sprawdza długości pola record filed ustanowionego w pierwszym etapie negocjacji sesji SSLv2, co pozwala na podmianę jego zawartości. Jeżeli program otrzyma większą ilość danych niż zaalokowana przez program pamięć, dane zostaną zapisane w innych obszarach pamięci. Te "dane" to zwykle złośliwy kod wykonywalny, zaś sama technika ataku jest określana mianem heap overflow (przeciążenie sterty). Problem można rozwiązać, pobierając poprawkę z witryny Mozilla Foundation.

Z błędami borykają się nieustannie także dystrybutorzy Linuxa.

Niedawno większość z nich opublikowała poprawki eliminujące błąd w powszechnie używanej bibliotece graficznej Qt (wersje wcześniejsze niż 3.3.3), będącej fundamentem środowiska okienkowego X Window. Problem związany jest z dekodowaniem plików z rozszerzeniem BMP. Spreparowana "bitmapa" pozwala na zawieszenie aplikacji, a potencjalnie - na zdalne wykonanie dowolnego kodu. Podobne luki wykryto niedawno w dekoderach plików GIF, XPM i JPEG.