Dziś pojawił się Out-of Band Microsoft Security Bulletin, konkretnie MS08-067. Zwracam uwagę na jego fragment:
It is possible that this vulnerability could be used in the crafting of a wormable exploit.
Pamięta ktoś plagę restartujących się komputerów i blastera?
Warto rzucić też okiem na blog Tomka, oraz podawane tam linki:
- MSRC: MS08-067 Released,
- SVRD: More detail about MS08-067, the out-of-band netapi32.dll security update,
...i warto przeczytać jeszcze to: MS08-067 and the SDL.
Warto przy calosci zwrocic uwage na dwa askepty:
- dziura zostala wykryta przez proaktywne dzialania, IMO + dla MSRC
- integrity levels i MIC wykazaly swoja przydatnosc w tym przypadku. Chociaz nie blokuja dziury to ograniczaja jej zasieg, co IMO juz jest dobrym uzasadnieniem dla istnienia i rozwijania tych mechanizmow w systemie
- istniał exploit wykorzystujący podatność,
- podatność mogła być wykorzystana do stworzenia worma,
- udało się stworzyć łatkę, której jakość była akceptowalna
Właściwie to chyba najbardziej dyskusyjna jest ostatnia kwestia, czyli to, kiedy łatka jest "wystarczająco dobra", by ją wypuścić, ale to dłuższy temat...
A co do worma:
http://www.teamfurry.com/wordpress/2008/10/24/new-worm-on-the-loose/
http://www.teamfurry.com/wordpress/2008/10/24/gimmiv-dll/
Zwłaszcza podoba mi się fragment "(...)it’s a rare find since it’s riddled with bad programming. It’s a wonder these guys even managed to make a malware that actually compiles.(...)"