Nieuws
image

Microsoft waarschuwt voor ernstig lek in Windows 7

woensdag 19 mei 2010, 09:59 door Redactie, 13 reacties

Microsoft waarschuwt gebruikers van Windows 7 en Server 2008 voor een ernstig beveiligingslek, waardoor aanvallers kwetsbare systemen kunnen overnemen. De kwetsbaarheid is aanwezig in de Canonical Display Driver, die weer wordt gebruikt voor weergave van het Aero glass theme. Volgens de softwaregigant lopen alleen systemen met de 64-bit versie van Windows en Server 2008 R2 risico. Ook Windows Server 2008 R@ voor Itanium systemen zijn lek.

Een aanvaller zou kwetsbare systemen kunnen laten crashen en herstarten, maar ook het uitvoeren van willekeurige code is in theorie mogelijk. Vanwege de kernelbeveiliging en Address Space Layout Randomization (ASLR), zou dit echter lastig zijn, aldus Jerry Bryant van het Microsoft Security Response Center (MSRC). Daarnaast moet het Aero theme geïnstalleerd zijn, wat bij Serveer 2008 R2 standaard niet het geval is.

Aero
De softwaregigant geeft het lek, dat via een forum publiek werd gemaakt, een Exploitability Index rating van drie. Dat betekent dat betrouwbare exploitcode onwaarschijnlijk is. Inmiddels wordt er aan een beveiligingsupdate gewerkt die het probleem oplost. Als tijdelijke oplossing krijgen gebruikers het advies om Windows Aero uit te schakelen.

Volgens Microsoft is het lek niet op afstand te misbruiken. "We hebben geen remote vector gevonden," zo laat het in een reactie weten. Naast Windows, zouden ook image viewers van andere ontwikkelaars mogelijk kwetsbaar zijn als ze een kwaadaardige afbeelding openen.

Reacties (13)
19-05-2010, 10:37 door Anoniem
De Canonical Display Driver is die van Canonical? http://nl.wikipedia.org/wiki/Canonical

De volgende vraag is waarom zit dit er in?
19-05-2010, 11:00 door Anoniem
canonical: reduced to the simplest and most significant form possible without loss of generality
19-05-2010, 11:29 door SirDice
Door Anoniem: De Canonical Display Driver is die van Canonical?
Nee.

http://www.merriam-webster.com/dictionary/canonical


Volgens Microsoft is het lek niet op afstand te misbruiken. "We hebben geen remote vector gevonden," zo laat het in een reactie weten. Naast Windows, zouden ook image viewers van andere ontwikkelaars mogelijk kwetsbaar zijn als ze een kwaadaardige afbeelding openen.
Geen remote vector?

De titel van de advisory: "Vulnerability in Canonical Display Driver Could Allow Remote Code Execution"

En verder onder mitigating factors:
In a Web-based attack scenario, an attacker could host a Web site that contains a Web page that is used to exploit this vulnerability. In addition, compromised Web sites and Web sites that accept or host user-provided content or advertisements could contain specially crafted content that could exploit this vulnerability. In all cases, however, an attacker would have no way to force users to visit these Web sites. Instead, an attacker would have to convince users to visit the Web site, typically by getting them to click a link in an e-mail message or Instant Messenger message that takes users to the attackers Web site.

Waarom is dit geen remote vector en bijv. MS10-023 wel? Wat is het verschil tussen een gebruiker een publisher document laten openen of een website laten bezoeken? Overigens vind ik beide geen remote code executions maar dat terzijde. Als je een bepaalde aanvalsvector als remote bestempeld moet je het wel consequent doen.
19-05-2010, 11:53 door Jachra
Door SirDice:
Volgens Microsoft is het lek niet op afstand te misbruiken. "We hebben geen remote vector gevonden," zo laat het in een reactie weten. Naast Windows, zouden ook image viewers van andere ontwikkelaars mogelijk kwetsbaar zijn als ze een kwaadaardige afbeelding openen.
Geen remote vector?

De titel van de advisory: "Vulnerability in Canonical Display Driver Could Allow Remote Code Execution"

En verder onder mitigating factors:
In a Web-based attack scenario, an attacker could host a Web site that contains a Web page that is used to exploit this vulnerability. In addition, compromised Web sites and Web sites that accept or host user-provided content or advertisements could contain specially crafted content that could exploit this vulnerability. In all cases, however, an attacker would have no way to force users to visit these Web sites. Instead, an attacker would have to convince users to visit the Web site, typically by getting them to click a link in an e-mail message or Instant Messenger message that takes users to the attackers Web site.

Waarom is dit geen remote vector en bijv. MS10-023 wel? Wat is het verschil tussen een gebruiker een publisher document laten openen of een website laten bezoeken? Overigens vind ik beide geen remote code executions maar dat terzijde. Als je een bepaalde aanvalsvector als remote bestempeld moet je het wel consequent doen.

Omdat je bij deze exploit waarschijnlijk ASLR op x64 moet omzeilen. Het schokkende vind ik echter dat er slechts 256 geheugenplaatsen zijn waar deze DLL zou kunnen zijn. Dat is veel te weinig en gemakkelijker te misbruiken.
19-05-2010, 11:57 door SirDice
Door Jachra: Omdat je bij deze exploit waarschijnlijk ASLR op x64 moet omzeilen.
Wat heeft dat te maken met het wel of niet hebben van een remote vector? ASLR is lastig maar in dit geval remote of lokaal net zo makkelijk of moeilijk te omzeilen. Vooral omdat het feitelijk geen remote lek is. Het verwerken van zo'n plaatje gebeurd lokaal en het is wat mij betreft dan ook een lokale exploit. Daarom begrijp ik ook heel die remote vector definitie niet meer van MS. En dat wordt alleen maar erger als ze er vervolgens ook niet consequent mee zijn.
19-05-2010, 12:01 door voidnecron
Ook Windows Server 2008 R@ voor Itanium systemen zijn lek.
Wel je shift op tijd los laten...
19-05-2010, 12:05 door [Account Verwijderd]
[Verwijderd]
19-05-2010, 12:44 door Anoniem
Door Peter V: Workaround voor Windows 7 64-bit systemen.

1. Ga naar je bureaublad
2. Zet je muiscursor op een leeg deel van je bureaublad
3. Klik op de rechtermuisknop
4. Zoek in het dialoogvenster: "Aan persoonlijke voorkeuren aanpassen".
5. Het dialoogvenster "Persoonlijke instellingen" wordt geopend, met daarin de visuele elementen en geluiden op de computer.
6. Zoek in het venster naar "Basisthema en thema's met hoog contrast" op.
7. Zoek een basis-thema uit en klik EEN keer hierop met de linker muisknop.
8. Het basis-thema is nu gekozen
9. Aero-thema (als deze standaard aanstond) is nu uitgeschakeld.
10. W7 is niet kwetsbaar meer.
wat dus ook op de microsoft site staat :Z

Is het trouwens niet zo dat Server 2008r2 standaard aero niet heeft maar pas installeerd als je de Desktop Experience Feature installeert ? Dus volgens mijn kunnen alleen Terminal servers er last van krijgen, maar waarom zou je aero op je TS doen :X
19-05-2010, 17:03 door Anoniem
Hey,die Bug in aero is dat niet hetzelfde bedrijf die Ubuntu Linux ondersteund?,die dus voor Windows7 dit thema heeft ontworpen?.
Ik weet niet of ik Aero-thema standaard op de laptop heb aanstaan,maar goed ik maal er niet zo om om dit lekje.
Als er een patch uitkomt installeert hij die wel.
Op de pc gebruik ik Lucid Lynx van Ubuntu,dus ook van Canonical ook in Ubuntu zaten eerst nog veel bugs.
Maar met de displaydrivers en thema´s is dit verholpen alleen zit er nog een bug in emerald, de emerald manager crasht wel eens als ik die gebruik.
20-05-2010, 09:25 door SirDice
Door Anoniem: Hey,die Bug in aero is dat niet hetzelfde bedrijf die Ubuntu Linux ondersteund?,die dus voor Windows7 dit thema heeft ontworpen?.
Spuit 11 geeft modder.
20-05-2010, 12:51 door Above
Ik heb in ieder geval plakspul gehaald bij de fietsenmaker om het lek te dichten!
20-05-2010, 18:25 door spatieman
wat was dat wat Bill Gates ooit zij?
windows 98 wordt het veiligste os ooit.
windows 2000 wordt het veiligste os ooit.
windows XP wordt het veiligste os ooit.
windows VISTA wordt het veiligste os ooit.
windows 7 wordt het veiligste os ooit.
22-05-2010, 09:33 door Dev_Null
De kwetsbaarheid is aanwezig in de Canonical Display Driver, die weer wordt gebruikt voor weergave van het Aero glass theme
Wat mij bevreemd is dat een kwetsbaarheid in een display-driver als volstaat om remote code execution te kunnen uitvoeren.

Remote Code Execution
Soms bekruipt me het gevoel alsof deze mogelijkheid al standaard zit ingebakken in het gehele "Windows concept". Als ik naar het grootste gedeelte van de uitgebrachte Microsoft "patches" zijn er relatief veel patches die remote code execution weer dichtplakken.
http://technet.microsoft.com/nl-nl/security/default%28en-us%29.aspx

Wat vinden jullie hiervan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure