Tarih : 30 Mart 2006
Birkac gundur yine Microsoft Internet Explorer'da saptanan ve
"createTextRang"/"checkbox" vulnerability (ref 1) olarak anilan bir
aciktan etkileniyoruz. Acik 0 (yaziyla sifir ! - burasi cok onemli,
anladiginizdan emin olun) gün acigi, yani ortada sozkonusu bir yama yok
ama herkesin elinde bir exploit (ref 2) gununu gun ediyor. Hatta
Microsoft ile iyi gecinen kurumlardan Eeye Digital bile durumla ilgili
unofficial bir cozum onerdi (ref 3).
Haber bu mudur ?
bence degil, cunku sifir gun aciklari ile daha once de ugrasmistik,
elbette herkesin kendince cozum onerileri bulunuyor. Esas nokta ,ki
bence cok daha onemli, buyuk yazilim firmalarinin (Temsilen taslarimizi
Microsoft'a atacagiz) guvenlik acigina karsi yama gelistirme sureci
olmali diye dusunuyorum.
Buyuk firmalarin
sahip olduklari yazilimin genel kullaniminin fazla olmasi, cok sayida
farkli surumun olmasi ve uzerinde yapilacak degisikligin her platformda
farklilik olusturmasi ayaklarina takilan en buyuk engel.
Ancak
unutulmamali ki bu engel, yazilimin parasini odeyen ve bu yazilim
araciligiyla sisteminde guvenlik gedikleri olusan bizlerin umrunda
olmamali. Bizi ilgilendiren esas nokta, soz konusu guvenlik aciginin
duyurusunu takiben sorumlu kurumun kac gunde harekete gecip cozum
urettigidir.
Tamam zorluklar nedeniyle 5-6 gün hos gorulebilir,
en azindan ben goruyorum. Cunku yazilim buyuk olabilir, etkiler farkli
olabilir veya isletim sistemi platform farkliliklari cozumun gercekci
olmasini engelleyebilir. Ancak muhtemel guvenlik aciginin etkilerini (en
azindan herkesce yayilmaya baslamis exploit'leri) devre disi birakmak
icin gereken hareketin 3-5 kod degisiminden ote yazilim icin yeni bir
servis paketine donusmesi kabul edilebilir degildir. Cunku 2. durumda
surec devasa olacak ve bu surede bizler riski --- zorunlu olarak ---
tasimis veya alternatif cozumlerle (guvenilirligi tartisilir) basbasa
olacagiz.
Gelin tum bunlarin isiginda en carpici ornegimize
bakalim, guvenlik aciginin Microsoft'a bildirilmesini takiben yamanin ve
duyurunun hazirlandigi tarih arasindaki surelere birkac ornek ;
ms06-005 (120 gün)
ms06-002 (163 gün)
ms05-055 (204 gün)
ms05-053 (224 gün)
ms03-053 (68 gün)
ms05-051 (95 gün)
Detayli bilgi : Referans 5 ve sonrasi
Soz
konusu rakamlari nereden bulduk ? Eeye Digital (ki kendisi Microsoft'un
cozum ortaklarindan) tarafindan Microsoft'a iletilen guvenlik
aciklarinin gelisim bolumlerinden.
Bir diger durum ise 0 gun
aciklari ile ilgili Aralik ayinda ortaya cikan WMF acigi (ref 4) 28
aralik 2005'te duyuruldu, yama ise acilen 5 Ocak 2006'da (bir yil gecmis
yahu diyenlere de elestiri dozunu ayarlayalim, insaf diyorum)
yayinlanmisti.
Yani guvenlik acigini bulan firma yayinlamiyorsa
riskin tasinmasi ve acigin kapatilmasi icin gelistirilen yamanin
duyurulmasi bekleyebilir. Nasil olsa sadece Eeye Digital sozkonusu acigi
biliyor ve onlar guvenilirler, degil mi ? Ayrica baskalari bilse ne
olur, netice de en onemli konu bunun aciklanmasi oyle degil mi ?
Birileri duyurulardaki guvenlik gediklerinin detayli aciklamasinin neden
yapilmadigini mi soruyor ? Bu konularin hepsine yazmaya usenmezsem
ikinci yazimda deginmek istiyorum.
Fatih Ozavci
Bilgi Güvenliği Danışmanı
Referanslar :
1)IE crash
http://seclists.org/lists/bugtraq/2006/Mar/0410.html
2) MS Internet Explorer (createTextRang) Remote Exploit (metasploit)
http://www.milw0rm.com/exploits/1620
3)Exploits Circulating for Internet Explorer Unpatched Vulnerability
http://www.eeye.com/html/research/alerts/AL20060324.html
4)MS06-001 Microsoft Windows Graphics Rendering Engine WMF SetAbortProc Code Execution Vulnerability
http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx
http://www.securityfocus.com/bid/16074
Acik Duyuru Tarihi : 28 Aralik 2005
Microsoft MS06-001 Duyuru Tarihi : 5 Ocak 2006
Fark : 7 Gün
5)
Published Advisories
http://www.eeye.com/html/research/advisories/index.html
Upcoming Advisories
http://www.eeye.com/html/research/upcoming/index.html
Windows Media Player BMP Heap Overflow - ms06-005 (120 gün)
http://www.eeye.com/html/research/advisories/AD20060214.html
Windows Embedded Open Type (EOT) Font Heap Overflow Vulnerability - ms06-002 (163 gün)
http://www.eeye.com/html/research/advisories/AD20060110.html
Windows Kernel APC Data-Free Local Privilege Escalation Vulnerability - ms05-055 (204 gün)
http://www.eeye.com/html/research/advisories/AD20051213.html
Windows Metafile Multiple Heap Overflows - ms05-053 (224 gün)
http://www.eeye.com/html/research/advisories/AD20051108b.html
Windows Metafile SetPalette Entries Heap Overflow Vulnerability (Graphics Rendering Engine Vulnerability) ms03-053 (68 gün)
http://www.eeye.com/html/research/advisories/AD20051108a.html
Microsoft Distributed Transaction Coordinator Memory Modification Vulnerability ms05-051 (95 gün)
http://www.eeye.com/html/research/advisories/AD20051011b.html
