17:17
29/1/2011

Dziura we wszystkich Windowsach (MHTML)

Microsoft ostrzega przed atakami wykorzystującymi nieznaną do tej pory dziurę we wszystkich wersjach systemu Windows. Atakujący mogą m.in. wykraść dane internauty — wystarczy, że wejdzie on na złośliwą stronę WWW przy pomocy przeglądarki Internet Explorer lub Opery.

MHTML, czyli MIME Encapsulation of Aggregate HTML

Bład znajduje się we wszystkich wersjach Windows w kodzie odpowiedzialnym za obsługę MHTML. Zagrożeni są jednak tylko ci, którzy korzystają z Internet Explorera i najprawdopodobniej Opery (inne przeglądarki nie wspierają domyślnie MHTML-a).

MHTML

MHTML

Luka, zaprezeontowana tydzień temu przez Chińczyków pozwala atakującemu na przeprowadzenie ataków typu XSS. Wystarczy, że internauta kliknie na złośliwy link, a do końca sesji przeglądarki uruchomiony zostanie skrypt atakującego, mogący odczytywać/modyfikować za pomocą JavaScriptu to, co internatua widzi w przeglądarce.

Jak się obronić?

Microsoft opublikował już narzędzie Fix-it, wyłączające MHTML. Firma dodała także, że nie zaobserwowała aktywnego wykorzystywania tej dziury do ataków w internecie.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

30 komentarzy

Dodaj komentarz
  1. Zapewne jutro pojawi sie w Metasploicie ;d

  2. Jak zaprezentowali ją tydzień temu Chińczycy to pewnie od kilku lat zbierają w ten sposób dane a teraz znaleźli coś lepszego ;)

  3. Jak widać Linux po raz koleiny górą, nie tylko ze względu na otwartość kodu i ilość darmowych narzędzie sieciowych ale i zasobożerność.

    • I co to ma do rzeczy? Czy może po prostu pod każdym postem dotyczącym luki w Windowsie musi być odpowiednia ilość komentarzy zachwalających Linuxa za wydajność, toolchain i może jeszcze zniżkę w Tesco na ziemniaki za jego posiadanie?

  4. Sobota, możesz jaśniej? :)

  5. Opera owszem, obsługuje MHTML – ale czy korzysta w tym celu z kodu IE? Zawsze wydawało mi się że Opera ma swój silnik MHTML.

  6. nareszcie coś dobrego ;) warto do klikania w linki uzywac chrome hehe

  7. Nie do końca się znam ale czy MHTML i MSHTML to to samo?

    “(inne przeglądarki nie wspierają domyślnie MHTML-a).”
    “Microsoft już opublikował już narzędzie Fix-it, wyłączające MSHTML.”

  8. Pobrałem Fix’a (50603) i wywala mi błąd odczytu oraz brak dostępu w trakcie instalacji, dokładnie na etapie ‘tworzenia punktu przywracania’ . Windows7 64x. System trzyma się bardzo stabilnie a tu taki suprise wyskoczył – ktoś wie dlaczego?
    Pobrałem fix’a dwukrotnie stąd: http://support.microsoft.com/kb/2501696

    Ps. używam Opery <3

  9. [quote]Sobota, możesz jaśniej? :)[/guote]
    Po prostu, na Windowsa zawsze pojawiało się najwięcej robactwa i będzie dziać się tak nadal. Taka specyfika tego sytemu ;)

  10. “Microsoft już opublikował już narzędzie […]” mała literówka. Czy Firefox 4 Beta ma również domyślnie zablokowany MHTML?

    • @Jaszczomb: AFAIR, Firefox ma wsparcie dla MHTML tylko z jakimś addonem.

  11. Sobota, możesz jaśniej?

  12. @Sobota
    To w sumie żaden argument :p. Windows jest najpopularniejszy, więc hakerzy najczęściej się za niego zabierają – mówimy o komputerach osobistych oczywiście, a nie o serwerach. Jakby linux, tudzież mac miał tyle użytkowników co Windows to też by im się do tyłków dobrali :p…

  13. Jak się obronić?

    Microsoft już opublikował już narzędzie Fix-it (…)

  14. … a co z FF + MAF ( https://addons.mozilla.org/pl/firefox/addon/mozilla-archive-format-with-fa/ ) ??? A ta opcja też jest podatna na ataki? Można o więcej informacji?

  15. Jak to Opera podatna? Przypominam, że Opera działa nie tylko pod Windows, ale także w kilku innych systemach i w każdym obsługuje MSHTML. Każdy system z Operą jest zagrożony? Nie wydaje mi się, bo Opera _raczej_ ma swój własny interpreter i kreator kodu MSHTML.

    • Piotr podatny jest kod odpowiedzialny za MHTML w każdym Windowsie. Aby go uruchomić należy skorzystać z przeglądarki, która go rozumie. Rozumie go IE i Opera. Firefox też, ale nie w domyślnej konfiguracji. vi.curry afaik będzie testował przez weekend tego buga, więc zapewne sprawdzi jak dokładnie sprawa ma się z Operą.

  16. Nie wiem czy to aby nie przypadek ale Opera właśnie mi się zaktualizowała…

  17. Huh, dobrze że od początku używam Firefoxa :D

  18. A jak wyłączyć w Operze MHTML?

  19. @sobota
    chodzilo mi bardziej o ta zasobozernosc :)

  20. @Piotr Konieczny Strachy na lachy jak dla mnie. Secunia milczy jeśli chodzi o Operę i MSHTML: https://secunia.com/advisories/product/33328/?task=statistics i podaje tylko IE jako podatne narzędzie: https://secunia.com/advisories/43093 Temat nie istnieje na stronach Opery (może coś przeoczyłem?) i jak sam przyznałeś, bug będzie dopiero testowany. Siejesz zamęt. ;

  21. Banda dzieciakow. Uzywacie odmiennego od masowego OSa? innej przegladarki? sadzicie, ze dzieki temu jestescie superbezpieczni? wlasnie przez takie myslenie mozecie stac sie wkrotce ofiara, a prawdopodobnie wielokrotnie malware grasowac po waszych systemach bez waszej wiedzy. bo wlasnie O TO chodzi. ;)

    Pomijam juz fakt, ze intelekt nakazywalby raczej milczenie i nie afiszowanie sie z tym czego sie uzywa, zeby zminimalizowac podatnosc na ataki okreslonego typu, bo IT to nie tylko technologia sprzetowo-programowa, ale i zorientowanie wokol tematyki czlowieka, ktory ten sprzet i soft – z roznym poziomem sprawnosci, umiejetnosci i wyobrazni – projektuje, obsluguje.

    Naprawde tylem mi juz wychodzi zalew bezmyslnych, bezrefleksyjnych ludzi, ktorzy nie maja za grosz pokory, ale wydaje im sie, ze wszystko wiedza. Sztuka jest wiedziec, ze nie wszystko sie wie …

  22. @Heinrich
    Tiaaa…, tacy jak ty do niedawna w Google mieli zainstalowany Windows . ;) Od pewnego czasu mają zakaz.

  23. Warto byłoby dać te źródła tematu:

    http://seclists.org/fulldisclosure/2011/Jan/224
    http://seclists.org/fulldisclosure/2011/Jan/419
    http://www.wooyun.org/bugs/wooyun-2010-01199
    http://seclists.org/fulldisclosure/2011/Jan/463

    Moja Opera pod Linuksem oraz pod Windowsem w ogóle nie wspiera protokołu mhtml:// ani mhtml:http:// w adresu przeglądarki (przynajmniej w standardzie, bo może jakieś sztuczki z CRLF i nagłówkiem Content-Type mogą ten mechanizm oszukać i Opera automatycznie uruchomi stronę jako MHTML. Samego nagłówka Content-Type:multipart/related Opera nie interpretuje jako HTML, czekamy na wyniki dokładnego badania :]). Z tego co wiem to od wersji 9 potrafi zapisywać w MHTmlu strony (powstaje jeden plik zawierający całą stronę, w tym zdjęcia itp.)

  24. @Borys Łącki No ładnie, cały czas byłem przekonany, że MSHTML i operowa obsługa MHT to to samo. :) Piotr Konieczny raczej też. Idę się karnie pochlastać.

  25. Hola hola, artykuł jest autorstwa vi.currego, a Ty Piotr chyba chciałeś napisać MHTML, a nie MSHTML ;-)

  26. I kolejny dowód na to że Mac jest lepszy od Windows.

  27. @miniX:
    Na pewno MAC jest lepszy pod kątem dostępności polskojęzycznego oprogramowania i bezproblemowego używania tego samego softu co w pracy, szkole itp.
    M$ będzie wygrywał na rynku do czasu kiedy jego OSy będą najpopularniejsze (i chwałą mu za to że jest jakakolwiek standaryzacja programowo-sprzętowa a nie burdel z 50 OS na rynku).

Odpowiadasz na komentarz Kenobi

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: