Во вторник Microsoft опубликовала исправление для серьезного пробела в защите своего ПО, обрабатывающего графический формат JPEG, и призвала заказчиков воспользоваться новым инструментом для выявления многих уязвимых приложений.
“Критическая” ошибка кроется в механизме, при помощи которого опер
ционные системы Microsoft и другие программы обрабатывают популярный формат изображений JPEG, и позволяет злоумышленникам создавать графические файлы, запускающие злокачественную программу на компьютере жертвы в момент просмотра изображения. Ввиду уязвимости браузера Internet Explorer пользователи Windows могут стать жертвами атаки, просто посетив веб-сайт с нехорошими картинками.
Эксперты встревожены степенью опасности этого дефекта и предупреждают, что за соответствующим вирусом дело не станет. “Вероятность атаки очень высока, – говорит менеджер по антивирусным исследованиям McAfee Крейг Шмугар. – Однако надо сказать, что кода proof-of-concept мы пока не видели”. Такой код иллюстрирует, как можно использовать пробелы в защите, и обычно появляется вскоре после того, как производитель ПО публикует поправку для своих продуктов.
Дефект проявляется в разных версиях, по крайней мере, дюжины приложений Microsoft и операционных систем, включая Windows XP, Windows Server 2003, Office XP, Office 2003, Internet Explorer 6 Service Pack 1, Project, Visio, Picture It и Digital Image Pro. Компания привела полный список уязвимых приложений в рекомендациях на своем веб-сайте. Windows XP Service Pack 2, который еще не поступил на компьютеры многих заказчиков, не подвержен этой опасности.
“Проблема в том, что (дефектная функция) входит в состав многих поставляемых продуктов”, – говорит менеджер по программе безопасности центра реагирования на инциденты Microsoft Стивен Тулуз. По этой причине Microsoft пришлось создать отдельный инструмент, помогающий заказчикам обезопасить свои компьютеры. Пользователи Windows Update получат также инструмент Office Update, а затем инструмент, который ищет и исправляет изображения и графические приложения. Эти инструменты служат примерами того, что компания намерена предлагать в будущем, сказал Тулуз. “Мы слышим от заказчиков, что для них важнее всего, чтобы процесс обновления ПО был максимально простым. Цель универсального механизма обновления как раз в этом и состоит”.
Дистрибьюторы Linux уже разработали такой универсальный механизм обновления ПО, который исправляет не только операционную систему, но и другие приложения, выпускаемые сообществом open-source. Однако большинство Windows-приложений поставляется независимыми от Microsoft компаниями, что затрудняет создание подобной универсальной системы.
Ошибка обработки JPEG позволяет программе, спрятанной в файле изображения, исполняться в системе жертвы. Она не связана с другой проблемой изображений, обнаруженной в начале августа. Тот дефект, кроющийся в библиотеке общего кода для формата Portable Network Graphics (PNG), влиял на приложения под Linux, Windows и Apple Mac OS X. Оба формата – JPEG (Joint Photographic Experts Group) и PNG – широко применяются на веб-сайтах.
В рамках программы оповещения, которая проводится с апреля 2004 года, каждый заказчик, подписавший с Microsoft договор о неразглашении, получил предупреждение о баге JPEG с трехдневным опережением.
“Некоторые заказчики хотели получать больше информации в целях планирования”, – пояснил Тулуз в ответ на сообщения о том, что привилегированные заказчики получают предупреждения о проблемах безопасности заранее. Он рекомендует заинтересованным заказчикам обратиться в местное представительство Microsoft за дополнительными сведениями об этой программе. Информация, которая передается участникам программы, ограничивается числом ошибок, затрагиваемыми приложениями и максимальной степенью угрозы, присвоенной этим ошибкам.
Баг обработки изображений JPEG – последний в череде пробелов в защите ПО Microsoft, ставший поводом для 28-го предупреждения в этом году. Microsoft часто включает в одно предупреждение несколько ошибок, так что в апреле, например, четыре предупреждения сообщали о 20 с лишним багах.
Вторая поправка, выпущенная Microsoft во вторник, исправляет ошибку в преобразователе файлов WordPerfect в Microsoft Office, Publisher, Word и Works. Эта ошибка расценивается как “важная”, то есть имеет второй уровень опасности по шкале Microsoft, следующий за “критическим”. Уязвимость позволяет злоумышленнику перехватить управление ПК жертвы, если пользователь откроет злокачественный документ WordPerfect.
Более подробная информация о второй ошибке содержится на веб-сайте Microsoft. Для загрузки поправки компания рекомендует заказчикам воспользоваться механизмом Office Update.