hotline

Amikor a javítás rosszabb hibát hoz létre

John E Dunn cikke nyomán a Sophos Naked Security oldaláról

Egy kutató állítása szerint a Meltdown mikroprocesszor megahibára kiadott Microsoft frissítések véletlenül egy sokkal rosszabb hibának tették ki a Windows 7 64-bites rendszer felhasználóit.

Emlékeztetőül, a Meltdown (azaz F**CKWIT vagy CVE-2017-5754) egy olyan kísérleti hardver sérülékenység, amelyet majdnem egyszerre fedezett fel több kutatócsoport is és amelyen keresztül egy támadó hozzáférhet a kernel memória tartalmához (jelszavak, titkosító kulcsok) a hagyományos alkalmazások által használt részekből.

Mivel bármilyen támadó számára kifejezetten hivogató célpontot jelent, a Microsoft emiatt is lépett akcióba, hogy foltozza a sérülékenységet (a gyártók BIOS frissítései mellett) a különböző Windows változatok esetében, két lépésben, januárban és februárban.

De Ulf Frisk szerint valami nagyon félrecsúszott a januári frissítéssel kezdve, amikor a Windows 7 és Windows Server 2008 R2 változatokhoz adták ki, amely elállította a jogosultságkezelést valami Page Map Level 4 (PML4) dologhoz.

Ezt a táblát szokták az Intel processzorok használni, hogy “egy folyamat virtuális címeit a RAMban található fizikai memória címeihez fordítsák.”

Ha ez megfelelően van beállítva, akkor csak a kernel képes hozzáférni ehhez a táblához. A probléma eredménye az lett, hogy egy a hibáról tudó támadó képes lehet kitörni az alkalmazásból és át tudja venni a rendszer feletti irányítást.

Mindezt egy sima egyszerű szoftveres hiba miatt:

Nincs szükség vonzó exploitokra. A Windows 7 már megcsinálta a kemény munkát azzal, hogy a szükséges memóriát belapozza minden egyes futó folyamatba. Az exploit csak a már belapozott folyamatban levő virtuális memória olvasásának és írásának kérdése. Nem kell semmilyen csilivili API vagy rendszerhívás – csak standard olvasás és írás!

Hogyan reagáljanak a Windows felhasználók?

Frisk szerint a Microsoft márciusi frissítése már befoltozta ezt a problémát, ezért ha Ön naprakész, akkor az újonnan-bevezetett PML4 hiba már eltávolításra is került.

Csak a januári és/vagy februári frissítéseket megkapó Windows 7 x64-es rendszereket érintette ez a probléma:

Más Windows változatok – mint pl. a Windows 10 vagy 8.1, teljesen biztonságban vannak ettől a problémától és sosem érintette azokat.

Nem gyakori, hogy egy biztonsági frissítés egy rendszert sokkal sérülékenyebbé tesz, mint annak alkalmazása előtt az volt, de ennél az esetnél ez a lényeg.

Először jött a hiba javítása, amely egy új és különálló hibát hozott létre, amelynek befoltozásához viszont egy új javítás kellett.

Ez napvilágra hozza azt, hogy mennyire nehéz, bonyolult lehet akár csökkenteni akár teljesen befoltozni a biztonsági hibákat, amelyeket eredetileg akár két évtizeddel ezelőtt terveztek meg.

Ezek a hibák olyan alacsony szinten léteznek, hogy akár egy kis hiba is egy másik sérülékenységet nyithat meg.

Az olyan csillapítások és javítások kiadása, amelyek nem lassítják le a processzorokat vagy hoznak létre új problémákat, miközben elhallgattatják a kiváncsiskodó kutatókat, teljesen a komfort zónájukon kívülre helyezi a Microsoft-ot, az Intel-t, és más nagyobb forgalmazókat.

A megzavart felhasználók csak néznek és csodálkoznak, hogy mit jelent mindez. 2018-ra vonatkozóan a legvalószínűbb válasz a sokkal több munka és a megjósolhatatlanság.

De ami a legfontosabb: alkalmazzák a legújabb Microsoft javításokat – ahogy mindig is javasolni szoktuk: patcheljenek koránm patcheljenek gyakran.

További információ angol nyelven