Een werknemer van Google heeft een ernstig beveiligingslek in Windows XP gepubliceerd, waardoor hackers volledige controle over kwetsbare machines kunnen krijgen. Onderzoeker Tavis Ormandy maakte zijn zero-day ontdekking op de Full-Disclosure mailinglist bekend. Het probleem bevindt zich in het "Help and Support Centre" van Windows, waarmee gebruikers online documenten van Microsoft kunnen opvragen.
Whitelist
Deze documenten zijn via de hcp:// URL aan te vragen, waarbij alleen een whitelist van documenten en parameters wordt geaccepteerd. "Dit ontwerp, geïntroduceerd in SP2, is redelijk oké", aldus Ormandy. "Een whitelist van betrouwbare documenten is een veilige manier om interactie toe te staan met documentatie van minder betrouwbare bronnen."
Er zit een implementatiefout in de whitelist, waardoor die te omzeilen is. Een aanvaller kan een gebruiker een kwaadaardig document laten openen, zonder dat hij of zij hiervoor gewaarschuwd wordt. Wel verschijnt heel even het Help Centre, voordat de aanvaller dit weer sluit. Daarmee is het mogelijk voor de aanvaller om willekeurige code met de rechten van de gebruiker uit te voeren.
Plugin
De kwetsbaarheid bevindt zich in Windows XP en Windows Server 2003. De aanval werkt zowel tegen IE8 als andere browsers, als Windows Media Player beschikbaar is. "Maar een installatie is nog steeds kwetsbaar zonder de mediaspeler." Machines met IE6 en IE7 hebben volgens Ormandy nog veel meer problemen. "In het algemeen maakt de keuze van browser, mailclient of wat dan ook niet uit, ze zijn allemaal even kwetsbaar." Browsers zijn volgens de onderzoeker handig om het probleem te demonstreren, maar er zijn zeker andere aanvalsvectoren, zoals Mail User Agents en documenten.
Patch
Ormandy waarschuwde Microsoft op 5 juni, dat het probleem bevestigde. Wel betekent dit dat er nog geen patch beschikbaar is. Gebruikers van kwetsbare systemen kunnen verschillende oplossingen toepassen, zoals het uitschakelen van Help Centre URL's.
Toch kan dit ook voor problemen zorgen, zoals niet functionerende links. In afwachting van een patch heeft Ormandy zelf een oplossing online gezet. Verder doen gebruikers er volgens de onderzoeker verstandig aan om niet regelmatig gebruikte browser plugins uit te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.