29/1/2011
Microsoft ostrzega przed atakami wykorzystującymi nieznaną do tej pory dziurę we wszystkich wersjach systemu Windows. Atakujący mogą m.in. wykraść dane internauty — wystarczy, że wejdzie on na złośliwą stronę WWW przy pomocy przeglądarki Internet Explorer lub Opery.
MHTML, czyli MIME Encapsulation of Aggregate HTML
Bład znajduje się we wszystkich wersjach Windows w kodzie odpowiedzialnym za obsługę MHTML. Zagrożeni są jednak tylko ci, którzy korzystają z Internet Explorera i najprawdopodobniej Opery (inne przeglądarki nie wspierają domyślnie MHTML-a).
MHTML
Luka, zaprezeontowana tydzień temu przez Chińczyków pozwala atakującemu na przeprowadzenie ataków typu XSS. Wystarczy, że internauta kliknie na złośliwy link, a do końca sesji przeglądarki uruchomiony zostanie skrypt atakującego, mogący odczytywać/modyfikować za pomocą JavaScriptu to, co internatua widzi w przeglądarce.
Jak się obronić?
Microsoft opublikował już narzędzie Fix-it, wyłączające MHTML. Firma dodała także, że nie zaobserwowała aktywnego wykorzystywania tej dziury do ataków w internecie.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Zapewne jutro pojawi sie w Metasploicie ;d
Jak zaprezentowali ją tydzień temu Chińczycy to pewnie od kilku lat zbierają w ten sposób dane a teraz znaleźli coś lepszego ;)
Jak widać Linux po raz koleiny górą, nie tylko ze względu na otwartość kodu i ilość darmowych narzędzie sieciowych ale i zasobożerność.
I co to ma do rzeczy? Czy może po prostu pod każdym postem dotyczącym luki w Windowsie musi być odpowiednia ilość komentarzy zachwalających Linuxa za wydajność, toolchain i może jeszcze zniżkę w Tesco na ziemniaki za jego posiadanie?
Sobota, możesz jaśniej? :)
Opera owszem, obsługuje MHTML – ale czy korzysta w tym celu z kodu IE? Zawsze wydawało mi się że Opera ma swój silnik MHTML.
nareszcie coś dobrego ;) warto do klikania w linki uzywac chrome hehe
Nie do końca się znam ale czy MHTML i MSHTML to to samo?
“(inne przeglądarki nie wspierają domyślnie MHTML-a).”
“Microsoft już opublikował już narzędzie Fix-it, wyłączające MSHTML.”
Pobrałem Fix’a (50603) i wywala mi błąd odczytu oraz brak dostępu w trakcie instalacji, dokładnie na etapie ‘tworzenia punktu przywracania’ . Windows7 64x. System trzyma się bardzo stabilnie a tu taki suprise wyskoczył – ktoś wie dlaczego?
Pobrałem fix’a dwukrotnie stąd: http://support.microsoft.com/kb/2501696
Ps. używam Opery <3
[quote]Sobota, możesz jaśniej? :)[/guote]
Po prostu, na Windowsa zawsze pojawiało się najwięcej robactwa i będzie dziać się tak nadal. Taka specyfika tego sytemu ;)
“Microsoft już opublikował już narzędzie […]” mała literówka. Czy Firefox 4 Beta ma również domyślnie zablokowany MHTML?
@Jaszczomb: AFAIR, Firefox ma wsparcie dla MHTML tylko z jakimś addonem.
Sobota, możesz jaśniej?
@Sobota
To w sumie żaden argument :p. Windows jest najpopularniejszy, więc hakerzy najczęściej się za niego zabierają – mówimy o komputerach osobistych oczywiście, a nie o serwerach. Jakby linux, tudzież mac miał tyle użytkowników co Windows to też by im się do tyłków dobrali :p…
Jak się obronić?
Microsoft już opublikował już narzędzie Fix-it (…)
… a co z FF + MAF ( https://addons.mozilla.org/pl/firefox/addon/mozilla-archive-format-with-fa/ ) ??? A ta opcja też jest podatna na ataki? Można o więcej informacji?
Jak to Opera podatna? Przypominam, że Opera działa nie tylko pod Windows, ale także w kilku innych systemach i w każdym obsługuje MSHTML. Każdy system z Operą jest zagrożony? Nie wydaje mi się, bo Opera _raczej_ ma swój własny interpreter i kreator kodu MSHTML.
Piotr podatny jest kod odpowiedzialny za MHTML w każdym Windowsie. Aby go uruchomić należy skorzystać z przeglądarki, która go rozumie. Rozumie go IE i Opera. Firefox też, ale nie w domyślnej konfiguracji. vi.curry afaik będzie testował przez weekend tego buga, więc zapewne sprawdzi jak dokładnie sprawa ma się z Operą.
Nie wiem czy to aby nie przypadek ale Opera właśnie mi się zaktualizowała…
Huh, dobrze że od początku używam Firefoxa :D
A jak wyłączyć w Operze MHTML?
@sobota
chodzilo mi bardziej o ta zasobozernosc :)
@Piotr Konieczny Strachy na lachy jak dla mnie. Secunia milczy jeśli chodzi o Operę i MSHTML: https://secunia.com/advisories/product/33328/?task=statistics i podaje tylko IE jako podatne narzędzie: https://secunia.com/advisories/43093 Temat nie istnieje na stronach Opery (może coś przeoczyłem?) i jak sam przyznałeś, bug będzie dopiero testowany. Siejesz zamęt. ;
Banda dzieciakow. Uzywacie odmiennego od masowego OSa? innej przegladarki? sadzicie, ze dzieki temu jestescie superbezpieczni? wlasnie przez takie myslenie mozecie stac sie wkrotce ofiara, a prawdopodobnie wielokrotnie malware grasowac po waszych systemach bez waszej wiedzy. bo wlasnie O TO chodzi. ;)
Pomijam juz fakt, ze intelekt nakazywalby raczej milczenie i nie afiszowanie sie z tym czego sie uzywa, zeby zminimalizowac podatnosc na ataki okreslonego typu, bo IT to nie tylko technologia sprzetowo-programowa, ale i zorientowanie wokol tematyki czlowieka, ktory ten sprzet i soft – z roznym poziomem sprawnosci, umiejetnosci i wyobrazni – projektuje, obsluguje.
Naprawde tylem mi juz wychodzi zalew bezmyslnych, bezrefleksyjnych ludzi, ktorzy nie maja za grosz pokory, ale wydaje im sie, ze wszystko wiedza. Sztuka jest wiedziec, ze nie wszystko sie wie …
@Heinrich
Tiaaa…, tacy jak ty do niedawna w Google mieli zainstalowany Windows . ;) Od pewnego czasu mają zakaz.
Warto byłoby dać te źródła tematu:
http://seclists.org/fulldisclosure/2011/Jan/224
http://seclists.org/fulldisclosure/2011/Jan/419
http://www.wooyun.org/bugs/wooyun-2010-01199
http://seclists.org/fulldisclosure/2011/Jan/463
Moja Opera pod Linuksem oraz pod Windowsem w ogóle nie wspiera protokołu mhtml:// ani mhtml:http:// w adresu przeglądarki (przynajmniej w standardzie, bo może jakieś sztuczki z CRLF i nagłówkiem Content-Type mogą ten mechanizm oszukać i Opera automatycznie uruchomi stronę jako MHTML. Samego nagłówka Content-Type:multipart/related Opera nie interpretuje jako HTML, czekamy na wyniki dokładnego badania :]). Z tego co wiem to od wersji 9 potrafi zapisywać w MHTmlu strony (powstaje jeden plik zawierający całą stronę, w tym zdjęcia itp.)
@Borys Łącki No ładnie, cały czas byłem przekonany, że MSHTML i operowa obsługa MHT to to samo. :) Piotr Konieczny raczej też. Idę się karnie pochlastać.
Hola hola, artykuł jest autorstwa vi.currego, a Ty Piotr chyba chciałeś napisać MHTML, a nie MSHTML ;-)
I kolejny dowód na to że Mac jest lepszy od Windows.
@miniX:
Na pewno MAC jest lepszy pod kątem dostępności polskojęzycznego oprogramowania i bezproblemowego używania tego samego softu co w pracy, szkole itp.
M$ będzie wygrywał na rynku do czasu kiedy jego OSy będą najpopularniejsze (i chwałą mu za to że jest jakakolwiek standaryzacja programowo-sprzętowa a nie burdel z 50 OS na rynku).