В чем опасность ежемесячных обновлений Microsoft

В Microsoft очень гордятся своим циклом безопасности SDL (Security Development Lifecycle). Он предполагает учет требований информационной безопасности при разработке программного обеспечения. В частности, предусмотрен ежемесячный цикл обновлений для продуктов корпорации. Каждый второй вторник месяца в Microsoft выпускают набор исправлений. Это делается для удобства пользователей: предполагается, что им удобнее ставить исправления целым пакетом в заранее определенный день, чем исправлять каждую ошибку в отдельности по мере готовности заплат. Увы, иногда забота о клиентах может обернуться новыми проблемами. Именно так произошло с августовским и сентябрьским набором исправлений.

В составе исправлений, выпущенных Microsoft 8 августа, было 12 файлов, которые исправляли 23 ошибки в различных программных продуктах компании. Наиболее важными были две заплаты — для сервиса Server Service (описана в бюллетене MS06-040) и для браузера Internet Explorer (MS06-042).

Первая ошибка была даже отмечена Агентством национальной безопасности США, которое призвало всех пользователей максимально оперативно установить исправления для Server Service, поскольку ситуация складывалась так же, как и перед вирусными эпидемиями Blaster и Slammer, принесших бизнесу большие убытки. К счастью, мрачные прогнозы АНБ не оправдались — вирусы были, но глобальных эпидемий они не вызвали.

хакеры используют периодичность выпуска исправлений, чтобы постоянно держать пользователей продукции Microsoft в напряжении: только выходят исправления одних ошибок, тут же публикуется информация о новых

Исправления для Internet Explorer были интересны тем, что в течение всего июля хакер, подписывающийся HD Moore, едва ли не ежедневно публиковал ошибки в браузерах. В частности для IE было опубликовано 25 ошибок. Августовский набор исправлений Microsoft исправлял восемь ошибок в IE, причем все — одним файлом.

По иронии судьбы, именно с тем обновлением, которое рекомендовала оперативно установить АНБ, и случилась неприятность. В Microsoft сами нашли в нем ошибку, которая проявляется при попытке приложения зарезервировать большую область памяти. Корпорация была вынуждена оперативно отреагировать. В результате обновление пришлось обновлять, и несмотря на то, что далеко не всем нужны «тяжелые» приложения, наверняка многим пришлось установить «заплату на заплату».

Однако уже на момент выхода обновления для MS06-040 была найдена ошибка в другом обновлении, MS06-042, исправляющем ошибки в IE. Она возникала в том случае, когда Web-сервер навязывал браузеру использование протокола HTTP 1.1 и передавал ему заархивированные данные. Спустя некоторое время эксперты Eeye Digital Security опубликовали сообщение, где описывалась схожая ошибка в обработке заархивированных длинных URL. В сообщении было указано, что ошибка может привести к исполнению вредоносного кода. Это заставило Microsoft задержать выпуск внеочередного обновления, чтобы проверить наличие второй дыры.

В результате обе ошибки были исправлены только к 24 августа. Так или иначе, ко времени выпуска следующего набора исправлений корпорация опубликовала новую версию бюллетеней MS06-040 и MS06-042, где были указаны и найденные в них ошибки.

Впрочем, как только Microsoft выпустила сентябрьские обновления, в течение недели было опубликовано сразу два эксплойта (оба они были подписаны одним именем — nop) для ранее неизвестных уязвимостей в IE. Первая ошибка была найдена в ActiveX-элементе DirectAnimation. Она вызывала переполнение буфера и исполнение вредоносного кода.

Таким образом, события двух последних месяцев ставят под сомнение целесообразность сохранения ежемесячного цикла обновлений. В то же время хакеры используют периодичность выпуска исправлений, чтобы постоянно держать пользователей Microsoft в напряжении: как только выходят исправления одних ошибок, тут же появляются сведения о новых. Фактически корпорации уже пришлось отклониться от заранее определенного графика выпуска обновлений, чтобы исправить опасные текущие ошибки. 


Хронология событий

События двух последних месяцев дали основания экспертам назвать неделю после выхода исправлений «неделей эксплойтов»:

8 августа Публикация пакета исправлений

11 августа Обнаружение ошибки в MS06-042

20 августа Выпуск исправления для MS06-040

24 августа Распространение исправлений для MS06-042

12 сентября Публикация пакета исправлений, в том числе и обновление бюллетеней MS06-042 и MS06-040

13 сентября Распространение эксплойта ошибки в DirectAnimation

21 сентября Публикация эксплойта для vml.dll

Поделитесь материалом с коллегами и друзьями