Informační zpravodaj zabezpečení společnosti Microsoft (935423)
Chyba zabezpečení ve způsobu zpracování animovaného kurzoru v systému Windows
Publikováno: 31. března 2007
Společnost Microsoft provádí šetření nových veřejně oznámených zpráv o útocích zneužívajících chybu zabezpečení při zpracování souborů animovaného kurzoru s příponou ANI v systému Microsoft Windows. Aby mohlo k tomuto útoku dojít, musí uživatel navštívit na webu takovou stránku, která je určena ke zneužití chyby zabezpečení, nebo musí zobrazit speciálně vytvořenou e-mailovou zprávu či přílohu e-mailu odeslanou útočníkem.
Doporučeným postupem je mimořádná opatrnost při otevírání a zobrazování každé nevyžádané pošty či její přílohy ze známých i neznámých zdrojů.Společnost Microsoft přidala do služby Windows Live OneCare Safety Scanner schopnost rozpoznat a odstranit škodlivý software, který zneužívá tuto chybu zabezpečení.Společnost Microsoft hodlá aktivně sdílet informace s partnery svazu Microsoft Security Response Alliance tak, aby jejich schopnost rozpoznat a odstranit útoky byla vždy aktuální.Zákazníci, kteří se domnívají, že mohou být touto chybou zabezpečení postiženi, mohou získat technickou podporu na webu služby technické podpory společnosti Microsoft. Hovory související s aktualizacemi zabezpečení v rámci USA a Kanady jsou bezplatné. Mezinárodní zákazníci získají podporu u místních zastoupení společnosti Microsoft. Technická podpora související s aktualizacemi zabezpečení je bezplatná. Další informace o možnostech kontaktování společnosti Microsoft v případě potřeby mezinárodní technické podpory naleznete na webu mezinárodní technické podpory.
Po důkladném přezkoumání podnikne společnost Microsoft příslušné kroky na ochranu svých zákazníků. V závislosti na potřebách zákazníků se bude jednat o měsíčně vydávané nebo mimořádně vydané aktualizace zabezpečení.
Společnost Microsoft aktivně sleduje tuto situaci, aby mohla informovat zákazníky a poskytovat jim nezbytné rady.
Účel tohoto informačního zpravodaje: Poskytnout zákazníkům první upozornění na veřejně oznámenou chybu zabezpečení. Další informace získáte v částech Zástupná řešení a skutečnosti snižující závažnost rizika a Doporučené postupy tohoto informačního zpravodaje.
Stav informačního zpravodaje: Chyba byla potvrzena a je plánováno vydání aktualizace zabezpečení
Doporučení: Nenavštěvujte nedůvěryhodné weby a nezobrazujte nevyžádané e-maily.
Tento informační zpravodaj se vztahuje k následujícímu softwaru.
Microsoft Windows 2000 Service Pack 4 |
Microsoft Windows XP Service Pack 2 |
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) |
Microsoft Windows XP Professional x64 Edition |
Microsoft Windows Server 2003 |
Microsoft Windows Server 2003 pro systémy s procesorem Itanium |
Microsoft Windows Server 2003 Service Pack 1 |
Microsoft Windows Server 2003 Service Pack 2 |
Microsoft Windows Server 2003 SP1 pro systémy s procesorem Itanium a Microsoft Windows Server 2003 SP2 pro systémy s procesorem Itanium |
Microsoft Windows Server 2003 SP2 pro systémy s procesorem Itanium |
Microsoft Windows Server 2003 x64 Edition |
Microsoft Windows Server 2003 x64 Edition Service Pack 2 |
Microsoft Windows Vista |
Co je cílem tohoto informačního zpravodaje?
Společnost Microsoft získala informace o nově zjištěné chybě zabezpečení týkající se animovaného kurzoru, součásti systému Microsoft Windows. Tento problém se týká softwaru uvedeného v části Přehled. Jeho rozsah je podobný jiným problémům týkajícím se animovaného kurzoru.
Jedná se o chybu zabezpečení, která vyžaduje vydání aktualizace zabezpečení společnosti Microsoft?
Ano.
Jaká je příčina tohoto ohrožení?
Příčinou ohrožení je nedostatečné ověření formátu před vykreslováním kurzorů, animovaných kurzorů a ikon.
Jakým způsobem tato funkce pracuje?
Animované kurzory jsou funkcí umožňující zobrazení několika řad rámečků na ukazateli myši namísto jednoho obrázku. Tímto způsobem se vytvoří krátký animační proces. Vlastnosti animovaných kurzorů vytváří soubory s příponou ANI.
K čemu by mohl útočník tuto funkci zneužít?
Útočník by se mohl pokusit o zneužití této chyby zabezpečení vytvořením speciální webové stránky. Také by mohl vytvořit speciální e-mailovou zprávu a odeslat ji do ohroženého systému. Po zobrazení webové stránky, prohlédnutí či přečtení speciálně vytvořené zprávy nebo otevření speciálně vytvořené přílohy e-mailu by útočník mohl způsobit spuštění kódu v postiženém systému. Zatímco animované kurzory bývají spojovány se soubory s příponou ANI, útočník není omezen pouze tímto typem souborů.
| Skutečnosti snižující závažnost rizika spojeného s chybou zabezpečení animovaného kurzoru |
| • | Zákazníci používající aplikaci Internet Explorer 7 v systému Windows Vista jsou před aktuálně známými webovými útoky chráněni prostřednictvím chráněného režimu aplikace Internet Explorer 7.0. Další informace o chráněném režimu aplikace Internet Explorer naleznete na následující webové stránce. |
| • | Aplikace Outlook 2007 používá ve výchozím nastavení k zobrazení e-mailových zpráv aplikaci Microsoft Word. Chrání tak zákazníky před útokem prostřednictvím náhledu e-mailu ve formátu HTML. |
| • | V případě útoku z webu by útočník musel být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Útočník by se také mohl pokusit ohrozit web, a to tak, že by na něm při pokusu o zneužití této chyby zabezpečení nechal zpracovat webovou stránku se škodlivým obsahem. Útočník nemůže žádným způsobem přinutit uživatele k návštěvě takového webu. Musel by je přesvědčit, aby navštívili konkrétní web. K tomu se obvykle používá odkaz, na který uživatel klepne, a přejde tak na útočníkův web nebo na web ohrožený útočníkem. |
| • | Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce. |
| Možná zástupná řešení chyby zabezpečení animovaného kurzoru |
Společnost Microsoft testovala následující zástupná řešení. Přestože tato zástupná řešení neopravují samotnou chybu zabezpečení, pomáhají blokovat známé způsoby útoku. Případná omezení funkčnosti způsobená daným zástupným řešením jsou vedena v následující části.
| • | Čtením e-mailů ve formátu prostého textu v aplikaci Outlook 2002 nebo novější nebo v aplikaci Windows Mail můžete snížit riziko útoku prostřednictvím e-mailu ve formátu HTML.
Uživatelé aplikace Microsoft Outlook 2002, kteří mají nainstalovanou aktualizaci Office XP Service Pack 1 nebo novější, mohou povolit toto nastavení, které jim umožní zobrazovat všechny e-maily bez digitálního podpisu nebo bez šifrování pouze ve formátu prostého textu. Upozornění: Čtení e-mailu ve formátu prostého textu v aplikaci Windows Vista Mail nesnižuje riziko pokusů o zneužití této chyby zabezpečení při předávání e-mailu odeslaného útočníkem dál nebo při odpovídání na takový e-mail. Poznámka: Čtení e-mailu ve formátu prostého textu v aplikaci Outlook Express nesnižuje riziko pokusů o zneužití této chyby zabezpečení. Dopad tohoto zástupného řešení: E-mailové zprávy, které jsou zobrazeny ve formátu prostého textu, nebudou obsahovat obrázky, zvláštní písma, animace ani další zvláštní obsah. Některé další projevy: | • | Změny se projeví v podokně náhledu a v otevřených zprávách. | | • | Obrázky budou převedeny na přílohy, nebudou proto ztraceny. | | • | Zpráva bude stále uložena ve formátu RTF (Rich Text Format) nebo HTML, proto nelze vyloučit neočekávané reakce objektového modelu (vlastní programový kód). |
|
| • | Chraňte svůj počítač Doporučujeme zákazníkům, aby se řídili našimi pokyny k ochraně počítače a povolili bránu firewall, získali aktualizace softwaru a nainstalovali antivirový software. Zákazníci mohou získat další informace o těchto krocích na webu Chraňte svůj počítač. |
| • | Další informace o bezpečném používání Internetu mohou zákazníci získat na domovské stránce zabezpečení společnosti Microsoft. |
| • | Zákazníci v USA, kteří se domnívají, že byli napadeni, by měli kontaktovat místní pobočku FBI nebo poslat stížnost na web organizace IFCC (Internet Fraud Complaint Center). Zákazníci mimo Spojené státy by měli kontaktovat soudní orgány v příslušné zemi.
Všichni zákazníci by si měli nainstalovat nejnovější aktualizace zabezpečení vydané společností Microsoft. Pomohou tak zajistit ochranu svých systémů před pokusy o zneužití. Zákazníci, kteří povolili funkci Automatické aktualizace, automaticky obdrží všechny aktualizace pro systém Windows. Další informace o aktualizacích zabezpečení naleznete na webu o zabezpečení produktů společnosti Microsoft. |
| • | Doporučujeme, aby zákazníci věnovali zvýšenou pozornost při příjmu přenosu souborů ze známých i neznámých zdrojů. Více informací o možnostech ochrany počítače při používání služby MSN Messenger najdete na webu s nejčastějšími dotazy týkajícími se služby MSN Messenger. Aktualizujte systém Windows |
| • | Všichni uživatelé systému Windows by měli použít nejnovější aktualizace zabezpečení Microsoft, aby zajistili co nejlepší zabezpečení počítače. Pokud si nejste jisti, zda je váš software aktuální, navštivte web Windows Update, nechte vyhledat dostupné aktualizace pro počítač a nainstalujte všechny nabízené nejdůležitější aktualizace. Pokud je zapnutá funkce Automatické aktualizace, obdržíte aktualizace při jejich vydání, ale musíte se přesvědčit, že jste je nainstalovali. |
Zdroje informací:
Zřeknutí se záruky:
Informace v tomto zpravodaji jsou poskytovány tak, jak jsou, bez jakékoli záruky. Společnost Microsoft neposkytuje žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nenesou v žádném případě zodpovědnost za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to ani v případě, že byli na možnost takových škod upozorněni. V některých zemích a právních řádech není dovoleno vyloučit nebo omezit odpovědnost, proto se výše uvedené omezení na vás nemusí vztahovat.
Revize:
| • | 29. března 2007: Informační zpravodaj byl publikován |
| • | 29. března 2007: Zpravodaj byl revidován přidáním informací o aplikaci Outlook 2007 v části Skutečnosti snižující závažnost rizika. Také byla aktualizována část Možná zástupná řešení informacemi o dopadu a používání e-mailů ve formátu prostého textu v aplikaci Windows Mail a Outlook Express |
| • | 31. března 2007: Zpravodaj byl revidován a v části Související software byly přidány informace týkající se systému Windows 2003 Service Pack 2, Microsoft Windows Server 2003 SP2 pro systémy s procesorem Itanium a Microsoft Windows Server 2003 x64 Edition Service Pack 2. |
