Den 22. desember i fjor kom Microsoft med et varsel om en sårbarhet som berører Internet Explorer 6 og nyere. Sårbarheten skyldes at det opprettes ikke-initialisert minne i forbindelse med en CSS-funksjon i nettleseren.
Sårbarheten åpner i verste fall for fjernkjøring av vilkårlig kode, noe som kan gi en angriper mulighet til å gjøre akkurat det samme som den innloggede brukeren.
Denne uken har det dukket opp mer informasjon om hvordan sårbarheten ble funnet, samt at det er uenighet mellom Microsoft og den Google-ansatte sikkerhetsforskeren Michal Zalewski om når og hvordan Microsoft fikk vite om sårbarheten.
Zalewski står bak et verktøy, cross_fuzz, som kan brukes til å avsløre sårbarheter i nettlesere. Det er ved hjelp av en ny versjon av dette verktøyet, som nå er fritt tilgjengelig, at Zalewski har oppdaget sårbarheten i Internet Explorer.
Jerry Bryant, en gruppeleder tilknyttet Microsofts Trustworthy Computing Group, sier i en uttalelse som blant annet er gjengitt av PC Magazine, at Microsoft ble varslet om en gitt versjon av verktøyet i juli 2010, men at verken Microsoft eller Zalewski på det tidspunktet identifiserte noen problemer.
Bryant sier videre at Microsoft fikk vite om en ny versjon av verktøyet den 21. desember, sammen med informasjon om et krasjtilfelle som potensielt kan utnyttes.
Zalewski skriver her at han varslet Microsoft om problemet allerede i juli i fjor og at han allerede da sendte den oppdaterte utgaven av cross_fuzz til Microsoft. Etter å ha blitt spurt om noe mer informasjon i begynnelsen av august, skal Zalewski ikke ha hørt mer fra Microsoft, før han selv sendte en henvendelse til Microsoft den 20. desember med informasjon om at han planla å offentliggjøre den oppdaterte versjonen.
I denne tidslinjen skriver Zalewski om kommunikasjonen han har hatt med Microsoft i julen. Etter å ha kommunisert fram og tilbake med Zalewski, skal Microsoft Security Response Center (MSRC) den 28. desember ha uttrykt bekymring over PR-effekten av saken. Samtidig skal Zalewski ha blitt fortalt at endringer han ha gjort i verktøyet kan være årsaken til at Microsoft ikke tidligere har kunnet reprodusere krasjene som Zalewski varslet om i juli.
Men etter å ha testet på nytt med juli-utgaven av cross_fuzz og konkludert med at resultatene stadig er de samme, ga Zalewski Microsoft beskjed om at planen om å gi ut det oppdaterte verktøyet i begynnelsen av januar, ville bli opprettholdt.
Dagen etter skal også MSRC ha testet juli-utgaven av verktøyet på nytt og kommet til at det likevel lot seg gjøre å reprodusere problemene. Men teamet skal ikke ha vært i stand til å forklare hvorfor dette nå er tilfellet.
Lekkasje
_logo.svg.png){kind=logo}
Zalewski offentliggjorde den oppdaterte utgaven av cross_fuzz den 1. januar i år, da han ikke anser forklaringen fra Microsoft som særlig god. Samtidig har han gjort det kjent at en av cross_fuzz-utviklerne ved et uhell fikk lekket en adresse til mappen med cross_fuzz i et dokument, som så ble indeksert av Googles søketjeneste.
I alle fall den tilhørende msie_crash.txt-filen skal den 30. desember ha blitt lastet ned via en maskin med kinesisk IP-adresse.
På denne siden forteller Zalewski om tilfellet og at han mener at vedkommende, som lastet ned filen, allerede må ha vært kjent med sårbarheten.
Siden Microsoft først den 21. desember kom i gang med undersøkelsen av sårbarheten, og fordi det ennå ikke er kjent at sårbarheten blir utnyttet av noen, er det lite trolig at Microsoft vil komme med en sikkerhetsfiks til de berørte utgavene av Internet Explorer før i februar.
Windows-sårbarhet
Forøvrig meldte Microsoft i går om nok en alvorlig sårbarhet. Denne berører riktignok ikke Windows 7 og Windows Server 2008 R2, men i de eldre utgavene av Windows gjør den det potensielt mulig for angripere å fjernkjøre vilkårlig kode med samme privilegier som den innloggede brukeren. Sårbarheten finnes i Windows Graphics Rendering Engine.
Ifølge dette blogginnlegget kan sårbarheten utnyttes ved at en bruker lokkes til å besøke en spesielt utformet webside eller til å åpne en spesielt utformet Word- eller PowerPoint-fil. Slike filer sendes ofte som vedlegg til e-post.
Microsoft etterforsker nå sårbarheten og vil på grunnlag av dette avgjøre om det skal gis ut en ekstraordinær sikkerhetsfiks eller om det er tilstrekkelig å gi ut sikkerhetsfiksen i forbindelse med selskapets faste, månedlige utgivelse av sikkerhetsoppdateringer.
Les også:
- [12.01.2011] Microsoft lapper tre av åtte sikkerhetshull
- [14.12.2010] Enda en CSS-sårbarhet funnet i IE
- [16.06.2010] Windows XP-sårbarhet er under angrep
- [11.06.2010] Google ga Microsoft fem dager på å lappe XP
