Zoals beloofd heeft Microsoft gisteren twee updates uitgebracht die samen zes kwetsbaarheden oplossen. Het is de eerste update buiten de reguliere updates sinds Microsoft in oktober het gat dichtte waar Conficker door naar binnenkroop.

De patches blijken inderdaad te maken te hebben met de presentatie die drie onderzoekers vandaag gaan houden op Black Hat. Daarin zullen ze demonstreren hoe je een kill-bit verdediging kunt omzeilen.

“We hebben deze ‘out-of-cycle’ uitgebracht omdat we minstens een aanval hebben gezien die een ATL kwetsbaarheid gebruikte”, zei Mike Reavey, hoofd van Microsoft’s Security Response Center in een interview. “En er werd almaar meer gespeculeerd en er kwamen meer en meer details naar buiten over Black Hat. We hadden de patches klaarliggen om uit te brengen, dus hebben we besloten om ze vandaag los te laten.”

Active Template Library

De twee noodpatches, MS09-034 en MS09-035 lossen drie kritieke lekken op in IE en patchen drie matig belangrijke lekken in Visual Studio. Maar het vreemde daaraan is dat Microsoft er op lijkt te hinten dat de patches voor Visual Studio toch de belangrijkste zijn. Die kwetsbaarheden zitten in de Active Template Library, die door Microsoft en andere ontwikkelaars wordt gebruikt om ActiveX controls en applicatiecomponenten te maken.

ATL is een C++ bibliotheek die veel wordt gebruikt door ontwikkelaars. De deskundigen zijn dan ook bang dat het niet voldoende is dat Microsoft nu het onderliggende probleem in ATL oplost. Ook Reavey onderkent dit. “Het is moeilijk om dit soort problemen met bibliotheken op te lossen”, zei hij. “Daarvoor moet je met veel mensen samenwerken.” Dat komt doordat een probleem met de bibliotheek niet alleen invloed heeft op het ontwikkelplatform, maar ook op de code die met behulp van dat platform geschreven is.

Veel buggy software

Reavey gaf toe dat het moeilijk in te schatten was hoeveel ontwikkelaars de buggy ATL hebben gebruikt, en dus hoeveel kwetsbare stukken code in omloop zijn. Bovendien is Microsoft nog niet eens klaar met het onderzoeken van hun eigen code. “We zijn nog bezig met het onderzoek”, zei Reavey toen hem werd gevraagd of Microsoft bugs heeft gevonden in software als Windows Media Player, waarvan een aantal onderzoekers beweert dat er kwetsbare ATL-code in zit.

Microsoft spoort ontwikkelaars aan om hun software goed na te kijken, en om die, indien nodig, opnieuw te compileren met de gepatchte ATL. “Microsoft adviseert nadrukkelijk dat ontwikkelaars die controls of componenten hebben gebouwd met ATL, onmiddellijk nagaan of hun controls ze kwetsbaar zijn, en dat ze dan de aanwijzingen volgen waarmee ze controls en componenten kunnen maken die geen last hebben van de kwetsbaarheid”, zegt Microsoft in een security advisory, waarin nog eens goed staat uitgelegd wat de risico’s zijn.

Internet Explorer

De patches voor IE zijn intussen uitgebracht om alle exploits die nu bekend zijn de pas af te snijden, aldus Reavey. Hij bevestigde ook dat de updates voor IE aanvallers ervan weerhouden om kill-bit te omzeilen op de manier die Ryan Smith, Mark Dowd en David Dewey vandaag aan hun publiek zullen voorstellen. De aanvullingen op IE blokkeren niet alle kwetsbare ActiveX controls, maar kijken in plaats daarvan of die controls de bepaalde methoden gebruiken die de bugs aanspreken. Als dat het geval is, dan wordt dat geblokkeerd, zegt Reavey.

Zeer waarschijnlijk is Internet Explorer gecompileerd met behulp van de kwetsbare ATL. Daardoor zijn de twee updates onlosmakelijk met elkaar verbonden. Het is heel onwaarschijnlijk dat op korte termijn alle software die met de kwetsbare ATL is gemaakt wordt uitgeroeid.

Bron: Techworld