Windows XP SP2 - первые уязвимости

[FantomIL]

Набрел на интересную статейку, по поводу новых багов в продукте MS.
Проблема заключается в реализации появившейся в SP2 работе с зонами безопасности при исполнении приложений - т.е. выдаче предупреждений или блокировке при попытке запустить программу не из доверенной зоны. Выясняется, что, во-первых, старый добрый cmd чихать хотел на все эти новшества и с удовольствием запускает даже исполняемые файлы, сохраненные в виде картинок - cmd /c evil.gif. Во-вторых, кэширование информации о зонах в Explorer приводит к тому, что он может запутаться при переименовании файлов и не предупредить о том, что запускается приложение, присланное извне. MS не сочла эти уязвимости заслуживающими внимания, да и сценарий их использования не самый очевидный, но сам факт столь быстрого обнаружения первых, пусть и не самых серьезных проколов в SP2 не слишком радует.
И, в дополнение, найдена серьезная уязвимость в IE (post-SP2)
Дело в обработке события drag and drop, передаваемого из одной зоны безопасности в другую. Пример, демонстрирующий уязвимость, добавляет произвольный исполняемый файл в папку Startup (подробности). Конечно, перетаскивание является не самой штатной операцией на web, но предполагается, что этот код можно будет переписать и под использование обычного клика. Пример работает во всех IE 6, в том числе и после установки SP2, а также в IE 5.5 и 5.01.
Источник

[FantomIL]

В дополнение к вышеизложеному добавлю статью SecurityLab, где описана возможность обхода ограничений на выполнение сценариев в Local Computer зоне в Microsoft Windows XP SP2.
Уязвимость обнаружена в Microsoft Windows XP SP2. Пользователь может обойти ограничкения на выполнения сценариев в Local Computer зоне.
Пользователь может создать mhtml файл содержащий специально обработанное значение Content-Location, чтобы заставить Windows XP SP2 выполнить файл в Intranet зоне вместо Local Computer зоны. Если Content-Location ссылается на URL, который соответствует intranet URL (например, 'news://malware/'), в результате могут быть обойдены ограничения Windows XP SP2 на выполнение кода сценария в Local Computer зоне, так как выполнение кода сценария разрешене в Intranet зоне.

Опасность: Высокая (в комбинации с другими уязвимостями)

Пример/Эксплоит: http://www.securitylab.ru/_Exploits/...alware.sp2.zip

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

[FantomIL]

Сегодня SecurityLab опубликовала статью о новой баге в SP2.

Подделка информации в "Security Center" в Windows XP SP2
Источник: Compulenta.ru

Издание PC Magazine обращает внимание на некоторые проблемы с "Центром безопасности" Windows - новым компонентом операционной системы, появившимся во втором сервис-паке для Windows XP. "Центр безопасности" отображает статус трех основных инструментов обеспечения безопасности: брандмауэра, антивируса и автоматических обновлений. Получить доступ к "Центру безопасности" можно из "Панели управления" или из системной панели, где значок Security Center находится рядом с часами.

Однако информация, отображаемая в "Центре безопасности", может быть подделана. Анонимное сообщение об этом получили в PC Magazine и проверили на собственном опыте. Как выяснилось, у "Центра безопасности" имеются несколько особенностей, которыми могут воспользоваться злоумышленники. Дело в том, что информация о состоянии программ хранится в базе данных, управляемой подсистемой Windows Management Instrumentation. Доступ к Windows Management Instrumentation осуществляется через набор интерфейсов WBEM, который доступен любым приложениям, как обычным программам, так и модулям ActiveX.

В результате, у вредоносной программы может появиться шанс изменить записи в базе данных и заставить "Центр безопасности" показывать ложную информацию. Для этого можно воспользоваться какой-либо уязвимостью в защите или дождаться момента, когда она будет отключена пользователем. Во всяком случае, редакции PC World удалось подделать информацию в окне "Центра безопасности" с помощью простого скрипта. В итоге, в окне стала отображаться информация о несуществующих брандмауэре и антивирусе, якобы стоящих на страже системы.

Чтобы осуществить подобные действия, можно воспользоваться дырами в Internet Explorer (а о наличии уязвимостей в браузере с установленным сервис-паком, уже сообщалось) либо прорехами в некоторых брандмауэрах и антивирусах. В итоге, пользователь будет чувствовать себя в безопасности, тогда как на его компьютере будут хозяйничать вредоносные программы.

В Microsoft, впрочем, не считают проблему слишком серьезной. Отвечая на вопросы PC Magazine, связанные с "особенностями" "Центра безопасности", в Microsoft отметили, что при включенном брандмауэре и антивирусе внести изменения в базу данных можно только в том случае, если пользователь сам запустит вредоносную программу. А в этом случае использовать "Центр безопасности" не нужно: проникнувшая в компьютер программа сможет отключить брандмауэр или антивирус самостоятельно. В Microsoft также считают неэффективной тактику, при которой вредоносная программа незаметно следит за состоянием "Центра безопасности", дожидаясь ручного отключения брандмауэра, и только после этого наносит удар. Скорее, хакеры захотят сразу отключить защиту компьютера, а не дожидаться пока эта защита отключится сама, считают в Microsoft.

Как видим новой фишке под названием "Центр безопасности" в Винде доверять не стоит, хотя бы потому, что он может выдавать недостоверную информацию. И пользователь может пользоваться атакованной машиной и быть уверенным, что все в порядке.

[Interceptor]

FantomIL
Абсолютно всё, что ты написал есть в этой теме: http://www.imho.ws/showthread.php?t=38650
Там и обсуждение самого пака и новости насчёт него

[FantomIL]

Interceptor,
спасибо, понял. Прошу прощения. Мне казалось, что вопросы безопасности обсуждаются в этом разделе форума, поэтому на тему из операционных систем не обратил внимания.
Еще раз прошу прощения.
Модераторы, закройте тему.

[ShooTer]

Double Post - Top zakryvayu.