17:17
29/1/2011

Dziura we wszystkich Windowsach (MHTML)

Microsoft ostrzega przed atakami wykorzystującymi nieznaną do tej pory dziurę we wszystkich wersjach systemu Windows. Atakujący mogą m.in. wykraść dane internauty — wystarczy, że wejdzie on na złośliwą stronę WWW przy pomocy przeglądarki Internet Explorer lub Opery.

MHTML, czyli MIME Encapsulation of Aggregate HTML

Bład znajduje się we wszystkich wersjach Windows w kodzie odpowiedzialnym za obsługę MHTML. Zagrożeni są jednak tylko ci, którzy korzystają z Internet Explorera i najprawdopodobniej Opery (inne przeglądarki nie wspierają domyślnie MHTML-a).

MHTML

MHTML

Luka, zaprezeontowana tydzień temu przez Chińczyków pozwala atakującemu na przeprowadzenie ataków typu XSS. Wystarczy, że internauta kliknie na złośliwy link, a do końca sesji przeglądarki uruchomiony zostanie skrypt atakującego, mogący odczytywać/modyfikować za pomocą JavaScriptu to, co internatua widzi w przeglądarce.

Jak się obronić?

Microsoft opublikował już narzędzie Fix-it, wyłączające MHTML. Firma dodała także, że nie zaobserwowała aktywnego wykorzystywania tej dziury do ataków w internecie.

Przeczytaj także:

30 komentarzy

Dodaj komentarz
  1. Zapewne jutro pojawi sie w Metasploicie ;d

  2. Jak zaprezentowali ją tydzień temu Chińczycy to pewnie od kilku lat zbierają w ten sposób dane a teraz znaleźli coś lepszego ;)

  3. Jak widać Linux po raz koleiny górą, nie tylko ze względu na otwartość kodu i ilość darmowych narzędzie sieciowych ale i zasobożerność.

    • I co to ma do rzeczy? Czy może po prostu pod każdym postem dotyczącym luki w Windowsie musi być odpowiednia ilość komentarzy zachwalających Linuxa za wydajność, toolchain i może jeszcze zniżkę w Tesco na ziemniaki za jego posiadanie?

  4. Sobota, możesz jaśniej? :)

  5. Opera owszem, obsługuje MHTML – ale czy korzysta w tym celu z kodu IE? Zawsze wydawało mi się że Opera ma swój silnik MHTML.

  6. nareszcie coś dobrego ;) warto do klikania w linki uzywac chrome hehe

  7. Nie do końca się znam ale czy MHTML i MSHTML to to samo?

    “(inne przeglądarki nie wspierają domyślnie MHTML-a).”
    “Microsoft już opublikował już narzędzie Fix-it, wyłączające MSHTML.”

  8. Pobrałem Fix’a (50603) i wywala mi błąd odczytu oraz brak dostępu w trakcie instalacji, dokładnie na etapie ‘tworzenia punktu przywracania’ . Windows7 64x. System trzyma się bardzo stabilnie a tu taki suprise wyskoczył – ktoś wie dlaczego?
    Pobrałem fix’a dwukrotnie stąd: http://support.microsoft.com/kb/2501696

    Ps. używam Opery <3

  9. [quote]Sobota, możesz jaśniej? :)[/guote]
    Po prostu, na Windowsa zawsze pojawiało się najwięcej robactwa i będzie dziać się tak nadal. Taka specyfika tego sytemu ;)

  10. “Microsoft już opublikował już narzędzie […]” mała literówka. Czy Firefox 4 Beta ma również domyślnie zablokowany MHTML?

    • @Jaszczomb: AFAIR, Firefox ma wsparcie dla MHTML tylko z jakimś addonem.

  11. Sobota, możesz jaśniej?

  12. @Sobota
    To w sumie żaden argument :p. Windows jest najpopularniejszy, więc hakerzy najczęściej się za niego zabierają – mówimy o komputerach osobistych oczywiście, a nie o serwerach. Jakby linux, tudzież mac miał tyle użytkowników co Windows to też by im się do tyłków dobrali :p…

  13. Jak się obronić?

    Microsoft już opublikował już narzędzie Fix-it (…)

  14. … a co z FF + MAF ( https://addons.mozilla.org/pl/firefox/addon/mozilla-archive-format-with-fa/ ) ??? A ta opcja też jest podatna na ataki? Można o więcej informacji?

  15. Jak to Opera podatna? Przypominam, że Opera działa nie tylko pod Windows, ale także w kilku innych systemach i w każdym obsługuje MSHTML. Każdy system z Operą jest zagrożony? Nie wydaje mi się, bo Opera _raczej_ ma swój własny interpreter i kreator kodu MSHTML.

    • Piotr podatny jest kod odpowiedzialny za MHTML w każdym Windowsie. Aby go uruchomić należy skorzystać z przeglądarki, która go rozumie. Rozumie go IE i Opera. Firefox też, ale nie w domyślnej konfiguracji. vi.curry afaik będzie testował przez weekend tego buga, więc zapewne sprawdzi jak dokładnie sprawa ma się z Operą.

  16. Nie wiem czy to aby nie przypadek ale Opera właśnie mi się zaktualizowała…

  17. Huh, dobrze że od początku używam Firefoxa :D

  18. A jak wyłączyć w Operze MHTML?

  19. @sobota
    chodzilo mi bardziej o ta zasobozernosc :)

  20. @Piotr Konieczny Strachy na lachy jak dla mnie. Secunia milczy jeśli chodzi o Operę i MSHTML: https://secunia.com/advisories/product/33328/?task=statistics i podaje tylko IE jako podatne narzędzie: https://secunia.com/advisories/43093 Temat nie istnieje na stronach Opery (może coś przeoczyłem?) i jak sam przyznałeś, bug będzie dopiero testowany. Siejesz zamęt. ;

  21. Banda dzieciakow. Uzywacie odmiennego od masowego OSa? innej przegladarki? sadzicie, ze dzieki temu jestescie superbezpieczni? wlasnie przez takie myslenie mozecie stac sie wkrotce ofiara, a prawdopodobnie wielokrotnie malware grasowac po waszych systemach bez waszej wiedzy. bo wlasnie O TO chodzi. ;)

    Pomijam juz fakt, ze intelekt nakazywalby raczej milczenie i nie afiszowanie sie z tym czego sie uzywa, zeby zminimalizowac podatnosc na ataki okreslonego typu, bo IT to nie tylko technologia sprzetowo-programowa, ale i zorientowanie wokol tematyki czlowieka, ktory ten sprzet i soft – z roznym poziomem sprawnosci, umiejetnosci i wyobrazni – projektuje, obsluguje.

    Naprawde tylem mi juz wychodzi zalew bezmyslnych, bezrefleksyjnych ludzi, ktorzy nie maja za grosz pokory, ale wydaje im sie, ze wszystko wiedza. Sztuka jest wiedziec, ze nie wszystko sie wie …

  22. @Heinrich
    Tiaaa…, tacy jak ty do niedawna w Google mieli zainstalowany Windows . ;) Od pewnego czasu mają zakaz.

  23. Warto byłoby dać te źródła tematu:

    http://seclists.org/fulldisclosure/2011/Jan/224
    http://seclists.org/fulldisclosure/2011/Jan/419
    http://www.wooyun.org/bugs/wooyun-2010-01199
    http://seclists.org/fulldisclosure/2011/Jan/463

    Moja Opera pod Linuksem oraz pod Windowsem w ogóle nie wspiera protokołu mhtml:// ani mhtml:http:// w adresu przeglądarki (przynajmniej w standardzie, bo może jakieś sztuczki z CRLF i nagłówkiem Content-Type mogą ten mechanizm oszukać i Opera automatycznie uruchomi stronę jako MHTML. Samego nagłówka Content-Type:multipart/related Opera nie interpretuje jako HTML, czekamy na wyniki dokładnego badania :]). Z tego co wiem to od wersji 9 potrafi zapisywać w MHTmlu strony (powstaje jeden plik zawierający całą stronę, w tym zdjęcia itp.)

  24. @Borys Łącki No ładnie, cały czas byłem przekonany, że MSHTML i operowa obsługa MHT to to samo. :) Piotr Konieczny raczej też. Idę się karnie pochlastać.

  25. Hola hola, artykuł jest autorstwa vi.currego, a Ty Piotr chyba chciałeś napisać MHTML, a nie MSHTML ;-)

  26. I kolejny dowód na to że Mac jest lepszy od Windows.

  27. @miniX:
    Na pewno MAC jest lepszy pod kątem dostępności polskojęzycznego oprogramowania i bezproblemowego używania tego samego softu co w pracy, szkole itp.
    M$ będzie wygrywał na rynku do czasu kiedy jego OSy będą najpopularniejsze (i chwałą mu za to że jest jakakolwiek standaryzacja programowo-sprzętowa a nie burdel z 50 OS na rynku).

Odpowiadasz na komentarz gość

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: