Etter at Microsoft i forrige uke publiserte en sikkerhetsfiks til flere Windows-versjoner i forrige uke, relatert til en sårbarhet i håndteringen av WMF-filer (Windows Meta File), har det på nytt dukket opp meldinger om at WMF-formatet forårsaker problemer i Windows.
Ifølge et innlegg i Bugtraq-listen, skrevet av Frank Ruder, er det blitt oppdaget muligheter til å oversvømme minnet i forbindelse med visningen av WMF-filer som gjøres av Microsoft Windows GRE(Graphics Rendering Engine). Ved visning av WMF-filer utformet av ondsinnede, kan dette føre til en tjenestenekttilstand og omstart av explorer.exe.
Flere talspersoner fra Microsoft har uttalt seg. Ifølge Betanews, forklarer Lennart Wistrand fra Microsoft Security Response Center at krasjene ikke er sikkerhetsproblemer, men i stedet Windows-relaterte ytelsesproblemer som kan føre til at noen WMF-applikasjoner uventet vil bli avsluttet. Feilene skal ikke gjøre det mulig for en angriper å krasje operativsystemet eller kjøre vilkårlig kode på det.
Ifølge Wistrand var Microsoft klar over dette problemet da sikkerhetsfiksen ble utgitt i forrige uke. Årsaken til at dette problemet ikke ble rettet samtidig som den kjente sårbarheten, var et ønske om å endre så lite som mulig i forbindelse med sikkerhetsfikser. Ifølge Wistrand var det viktigste å få tettet det kjente sikkerhetshullet på en slik måte at ikke nye problemer kunne oppstå som følge av sikkerhetsfiksen.
Microsoft skal vurdere om feilene skal rettes i en senere oppdatering til operativsystemet.
Les også:
- [03.02.2006] Solgte innbruddskode til adware
- [11.01.2006] Kritiske sikkerhetsfikser fra Microsoft
- [06.01.2006] Microsoft tetter likevel kritisk WMF-hull
- [02.01.2006] Uoffisiell fiks til Windows-sårbarhet
- [28.12.2005] Ny Windows-sårbarhet utnyttes allerede
Til News.com sier Mike Murray, forskningsdirektør med ansvar for sårbarheter og utnyttelse i sikkerhetsselskapet nCircle, at det ikke er uvanlig at det oppdages flere problemer knyttet til WMF.
- Når en del av Windows viser seg å ha noen sårbarheter, trekker det oppmerksomheten dit, og mange ondsinnede forskere vil begynne å se nærmere denne delen, sier Murray. Han viser til tidligere eksempler i IIS, SQL Server og RPC.
Murray sier videre at selv om det nye problemet bare kan utnyttes til å forårsake tjenestenektsituasjoner, er det sannsynlig at det kan vise seg å være mer alvorlig.
- Hvis det er mulig å skrive programvare som tar kontroll over en angrepet maskin, vil vi se det i løpet av de neste to ukene, mener han.
Microsoft skal nå ta en grundig gjennomgang av koden for å se om det finnes flere lignende problemer.
- Nå som vi er klar over at denne angrepsvektoren er mulig, kan kundene være sikre påa t vi vil gjennomgå koden for å se etter andre mulig sårbarheter basert på denne typen angrep, sier Debby Fry Wilson, en direktør ved Microsofts Security Response Center, til News.com.
Microsoft får kritikk, blant annet fra Neil MacDonald, analytiker i Gartner, som mener at problemene knyttet til WMF-formatet ikke utgjør noen god reklame for Microsofts sikkerhetsinnsats.
- Dette skulle ha blitt fanget opp og eliminert for flere år siden. De overså bildeformatfilene, og det er der hvor WMF-problemet kom inn, sier MacDonald. WMF-formatet ble tatt i bruk allerede tidlig på 90-tallet av Windows 3.0.
Microsoft skal likevel ha ros for å ha fått fortgang i prosessen med å gi ut sikkerhetsoppdateringer. Selskapet har tidligere brukt veldig lang tid på å komme med botemiddel, men ifølge Fry Wilson brukte selskapet denne gang bare ti dager. Dette skal være ny rekord. Men det vil også føre til at kundene heretter vil forvente raskere reaksjon fra Microsoft når nye sårbarheter dukker opp, enn det som har vært vanlig tidligere.
Den opprinnelige WMF-sårbarheten skiller seg fra den store mengden av sårbarheten de siste årene ved at den ikke utnytter en overflytsfeil i en buffer, men utnyttet funksjonalitet i programvaren på en måte som ikke var blitt vurdert av Microsoft.
Murray i nCircle mener at dette er noe nytt, noe som mange av de som jakter på feil, både de «snille» og de «slemme», vil se etter heretter.
