Skønt Microsoft har lukket sikkerhedshuller i Active Template Library, kan mange tredjepartsprodukter fortsat være sårbare, skriver Shehzad Ahmad i denne klumme fra Computerworld Online.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Når Microsoft bryder med traditionen og udsender sikkerhedsrettelser på en anden dag end den anden tirsdag i måneden, er der grund til at være opmærksom.
Det skete i denne uge, og anledningen er alvorlig.
Microsoft har opdaget tre kritiske sårbarheder i programmeringsbiblioteket Active Template Library (ATL), som indgår i udviklingsmiljøet Visual Studio.
ATL anvendes blandt andet til at udvikle COM-objekter, herunder ActiveX-kontroller. Og det var netop en sårbarhed i sådan en, der fik alarmklokkerne til at ringe.
Video-kontrol var sårbar
Tidligere på sommeren begyndte hackere at udnytte en sårbarhed i ActiveX-kontrollen Microsoft Video (msvidctl.dll).
Hvis en bruger med den sårbare kontrol besøgte et websted, kunne angriberen afvikle programkode på brugerens pc.
I første omgang forsøgte Microsoft at lukke hullet ved at sætte en kill bit på ActiveX-kontrollen.
Det betyder, at Internet Explorer ikke har lov til at aktivere den, selvom den er installeret på pc'en.
Men yderligere undersøgelser viste, at problemet lå dybere end som så.
ActiveX-kontrollen er en af dem, der er udviklet med det sårbare ATL-bibliotek. Og en af sårbarhederne heri gør det muligt at omgå kill bit-systemet.
Det er alvorligt.
For hvis man ikke kan stole på kill bit-systemet, kan angribere udnytte sårbarheder i gamle ActiveX-kontroller. Hvis kontrollens fil stadig ligger på pc'en, kan den aktiveres gennem Internet Explorer.
To ekstraordinære opdateringer
Derfor udsendte Microsoft i denne uge ikke en, men to sikkerhedsopdateringer: En til Visual Studio, der fjerner fejlene i ATL, og en til Internet Explorer, der fjerner muligheden for at udnytte ATL-sårbarhederne i dette program.
Det er godt. Men det er ikke nok.
Der findes stadig et ukendt antal programmer fra Microsoft og andre softwarehuse, som er udviklet med det sårbare bibliotek.
Vi ved, at Flash fra Adobe er en af dem. Adobe har varslet, at der kommer sikkerhedsrettelser i denne uge. Men om de omfatter denne fejl, ved vi ikke.
Cisco oplyser, at deres Unity-produkt version 4, 5 og 7 er ramt.
Sikkerhedsrettelsen til Internet Explorer medfører, at det ikke umiddelbart er muligt at udnytte sårbarhederne via browseren.
Men der er ingen tvivl om, at hackere nu er i gang med at analysere sårbarhederne for at finde metoder til at udnytte dem.
Bruger du ATL?
Hvis du arbejder i en organisation, der udvikler Windows-applikationer, vil jeg opfordre dig til at undersøge, om I anvender ATL.
Er det tilfældet, skal I tjekke, om I har udviklet noget med de sårbare udgaver af biblioteket.
Hvis det er tilfældet, skal I bygge komponenterne på ny og distribuere dem til kunderne.
Ifølge sikkerhedsforsker Thomas Dullien, der kalder sig Halvar Flake, når han skriver om sårbarheder, skyldes en af sårbarhederne en ganske simpel programmeringsfejl.
En programmør hos Microsoft har sat et & for meget i kildekoden.
Det gør, at i stedet for at give en funktion indholdet af en variabel bliver der sendt adressen, hvor variablen befinder sig.
Så lidt skal der nogle gange til. Man kan undre sig over, at fejlen er sluppet igennem Microsofts proces til udvikling af sikker software, som jeg skrev om i maj-klummen.
Oprindelig bragt på Computerworld Online den 31. juli 2009
LINKS
Microsoft Security Advisory 973882 om sårbarhederne i ATL
Blogindlæg fra Halvar Flake om sårbarheden i msvidctl.dll