Computerworld News Service: Hackere vil snart finde ud af at udnytte en af de 15 sårbarheder, Microsoft rettede tirsdag, til at bygge en angrebs-kode, der kan inficere brugere af Internet Explorer, sagde en række sikkerhedseksperter i går.
Fejlen, som Microsoft rettede i forbindelse med virksomhedens seks sikkerhedsopdateringer, findes i Windows-kernen, som er operativsystemets hjerte.
Kernen parser ukorrekt EOT (Embedded OpenType)-fonte, som er kompakte font-typer designet dels til brug på internettet og dels i Microsoft Word og PowerPoint-dokumenter.
Microsoft tildelte fejlen niveauet 'kritisk', som er virksomhedens højeste trusselsvurdering, og en 'exploitability'-rang på 1, som betyder, at man forventer, at fejlen vil blive udnyttet af hackere inden for de næste 30 dage.
Udenforstående eksperter forventer, at det vil ske langt tidligere end det.
"Der vil blive skabt en exploit meget snart," lyder det fra Jason Miller, som er security and data team manager ved virksomheden Shavlik Technologies, der beskæftiger sig med patch-håndtering.
"Målet er IE, og browsing er den mest udbredte angrebsmetode i verden lige nu. Brugerne kan blive inficerede, hvis bare de klikker sig forbi en [ondsindet] side."
En anden ekspert mener, at en exploit er lige på trapperne.
HD Moore, som er skaber af den populære open source-baserede Metasploit til penetrations-test og som derudover er sikkerhedschef ved sikkerhedsfirmaet Rapid7, siger, at han allerede er i gang med at udvikle en exploit, der udnytter den kritiske fejl, som Microsoft rettede tirsdag i den såkaldte MS09-065-opdatering.
"Jeg er meget tæt på at have en, der virker," siger han.
Fejlen er ekstremt attraktiv for hackere, tilføjer HD Moore, og ikke kun fordi den kan udnyttes til et klassisk 'drive by-angreb', som i al stilhed kan overtage et ikke-opdateret Windows 2000 eller XP-system, når brugerne besøger en kompromitteret eller ondsindet hjemmeside.
Et skattekammer af bug-rettelser
I Vista kan en succesfuld exploit skaffe hackere adgang til dele af maskinen, men den kan dog ikke bruges til at tilføje malware, siger Microsoft.
"En EOT-fil kan benytte både kompression og kryptering," bemærker HD Moore med en henvisning til det font-format, hackerne vil bruge til at udnytte fejlen.
Eftersom filen kan kompresses og krypteres, vil de fleste antivirus-programmer have svært ved eller simpelthen være ude af stand til at finde ud af, om fontene på en hjemmeside bruges til at lancere angreb. "De vil stryge lige forbi beskyttelsen," siger han.
Og eftersom EOT-filen fungerer på kerne-niveauet og ikke i Internet Explorer selv, så hjælper browser-baserede sikkerhedsforanstaltninger heller ikke.
"Man behøver ikke JavaScript for at kreere en exploit," siger han med en henvisning til det script-sprog, der udgør et populært værktøj for hackere, der vil angribe browsere.
Den slags angreb kan undgås ved at sætte restriktioner på JavaScript, eller ved helt at slå det fra.
På Vista pc'er vil IE7's og IE8's "sandbox", som er designet til at forebygge kode i at undslippe browseren og orme sig ind i for eksempel styresystemet, på samme måde være værdiløs, siger HD Moore.
De bedste hackere vil måske kunne udnytte det skattekammer af bug-rettelser, som Microsoft i al stilhed tilføjede MS09-065-opdateringen, bemærker HD Moore.
"Der er masser af funktions-rettelser inkluderet i opdateringen," siger han og tilføjer, at det ikke er en usædvanlig praksis for Microsoft.
Selv om virksomheden i sin udtalelse kun fortalte om tre sårbarheder i Windows-kernen, fortæller HD Moore, at han selv har fundet mindst otte i alt.
Oversat af Marie Dyekjær Eriksen
