星期六, 四月 07, 2007

Windows ANI 漏洞 - 两年前就已发现?

Windows ANI 漏洞 - 两年前就已发现?      据 informationweek 网站报道称,微软声称,今年发现的 .ANI 缺陷与二年前发现的不同。但一些安全专家表示,这是相同进程中的相同错误,他们怀疑微软当初使该错误成为了“漏网之鱼”。McAfee 的威胁研究人员克莱格说,如果微软在二年前修正缺陷时曾认真地检查同一段代码中的其它代码,就会发现这一缺陷,并在2005年就修正了这一缺陷。 微软拒绝就此问题接受电话采访,但一位发言人在发送给《信息周刊》(InformationWeek)的一封电子邮件中说,尽管二个缺陷都与光标和图标文件的处理有关,但二者并不相同。

      .ANI 缺陷与 Windows 处理动画光标文件的方式有关,是一个缓冲区溢出缺陷。它影响包括 Windows Vista 在内的最近的 Windows 版本,使黑客可以远程地控制存在缺陷的 PC。IE 浏览器是利用该缺陷的恶意代码的主要攻击媒介。研究人员指出, Firefox 浏览器同样会被黑客用来发动攻击。

      尽管 Determina 的研究人员在去年12月份就向微软通报了这一问题,但微软在3个多月的时间中一直迟迟没有发布补丁软件。直到3月底,微软才表示有100名技术人员在夜以继日地开发补丁软件。微软在4月3日发布了一款补丁软件。

      安全研究人员表示,微软发布的补丁软件并没有遏止住恶意攻击,甚至没有减缓恶意代码传播的速度。在短短数天的时间中,安全厂商 Websense 的研究人员就发现有700多家网站在传播 .ANI 恶意代码。研究人员还发现,恶意代码还在通过一封声称包含有小甜甜布兰妮裸照的垃圾邮件进行传播。甚至已经有教授利用该缺陷开发恶意代码的工具出现。

      eEye Digital Security 的安全研究人员在2004年就在 Windows 中发现了一个 .ANI 缺陷,并向微软进行了通报。微软在2005年1月11日发布补丁软件修正了该缺陷。与目前的 .ANI 缺陷一样,当年的 .ANI 缺陷也滋生出了大量的恶意代码,给 IT 经理带来了很大麻烦。克莱格说,在很长一段时间中,.ANI缺陷利用代码曾经一直位居五大恶意代码之列。这些缺陷利用代码还是许多恶意代码的“交通工具”。

      二个缺陷都被评定为“危急”级别。

      Determina Security Research 的缺陷研究人员亚历山大在去年12月份向微软通报了最新 .ANI缺陷。他说,这二个是同一个错误。事实上,这一代码几乎与 MS05- 002 补丁软件中修正的代码百分之百地完全相同,但是,微软的补丁软件没有修正该缺陷的第二个实例,Windows 仍然容易受到这类攻击。

      该缺陷有二个实例。一个是在2004年被发现的,并在2005年得到了修正;另一个则没有被发现,直到本周才被微软发现。eEye 的主管安德烈说,真正有缺陷的代码是完全相同的,只是位于 Windows 操作系统中不同的位置而已。

      研究人员表示,这二缺陷与同一过程有关:动画光标处理,它们还都是缓冲区溢出缺陷,都在 user32.dll 文件中,二者之间只有数行代码之隔。

      微软声称,这是二个不同的缺陷。微软的一名发言人说,利用二个缺陷的恶意代码必须各自设计。利用2004年缺陷的恶意代码不能被用来利用现有的缺陷发动攻击,反之亦然。它们的相同之处就是都借 Windows 中的光标和图标处理函数兴风作浪。在获得有关缺陷的通报后,微软会对范围尽可能广的代码进行检查,发现其中存在的问题,但是,微软可能无法发现所有不同的缺陷。微软正在进行相关调查,以搞清楚为什么这一缺陷在2005年没有得到修复,并在未来的工作中吸取教训。

      亚历山大表示,该缺陷的第二个实例很容易被发现,但他搞不懂微软为什么没有做到这一点。他说,微软部署了“安全开发生命周期”过程,在修正缺陷时会严格检查相关代码。编程人员在编程中经常“非常连贯”,因此在代码中会反复出现相同的错误。如果发现读取 ANI 文件数据的代码的其它拷贝,其中包含有相同缺陷的可能性很高。亚历山大说,他用二个小时就发现了第二个 ANI 缺陷,如果掌握有 Windows 源代码,所用的时间会更短。他指出,微软在修正第一个缺陷时,理应发现并修正第二个缺陷。

没有评论: