PDA

Просмотр полной версии : WMF-уязвимость была сделана преднамеренно?



SDA
14.01.2006, 13:54
Стив Гибсон (Steve Gibson) утверждает, что недавняя уязвимость в обработке wmf-файлов не могла возникнуть случайно. Проблема возникает в ситуации, когда системная функция, обрабатывающая записи метафайла, получает в качестве длины очередной записи единицу. В то же время каждая запись в метафайле начинается с четырехбайтового поля длины, за которым следует двухбайтовый номер функции, т.е. длина записи в принципе не может быть меньше шести байтов, или трех слов (подсчет идет в словах). Причем ни ноль, ни двойка не приводят к срабатыванию уязвимости - только единица, встретив которую, система создает новый поток, запуская в нем внедренный код.

Соответственно, делается вывод, что подобный код не мог возникнуть случайно, и что в лучшем случае кто-то из microsoft'овских программистов по личной инициативе оставил такую закладку, а в худшем - ну понятно, про Старшего Брата из Редмонда мы уже слышали много раз.
Источник: Security Now!

anton_dr
16.01.2006, 08:43
Так, блин, сама же майкрософт это и так признает. http://www.securitylab.ru/news/246188.php?R1=maillist&R2=Sitenews


По словам Микко Хюппонена (Mikko Hypponen), старшего научного сотрудника финской компании F-Secure, занимающейся проблемами безопасности программного обеспечения, еще при разработке формата WMF в конце 1980-х гг. в него была встроена функция, позволяющая файлам содержать участок исполняемого кода. "Это была не ошибка, а функция, необходимая в то время". Данный формат впервые появился в Windows 3.0 в начале 1990-х. Исполняемый код в файле позволял прекратить обработку слишком больших изображений на медленных компьютерах.

Заплатка для этой проблемы была выпущена Microsoft спустя всего 10 дней после обнаружения уязвимости, что является рекордом корпорации по скорости выпуска патча, отметила г-жа Уилсон. Хотя Microsoft удалось найти решение проблемы в кратчайшие сроки, тип уязвимости стал сюрпризом для разработчиков. "Это не типичное переполнение буфера. Это способ работы программы, которым можно злоупотребить. Мы этого не предвидели", – говорит г-н Кин.