Denna spalt är inne på sitt sjunde år och antalet artiklar
närmar sig ett tre siffrigt antal. För att fortsätta i statistikens
tecken så har det aldrig under denna tid rapporterats så många
sårbarheter under en månad som det gjorts under juli.
Microsoft brukar leda all tänkbara statistik vad gäller upptäckta
sårbarheter och så är fallet även för juli månad. Mest oroväckande
är dock sårbarheten i Cisco IOS. Med vetskapen om att en betydande
del av Internet baseras på utrustning som använder Cisco IOS så
hamnar sårbarheten i en annan dager. Genom att formatera IPv4 paket
på ett visst sätt är det möjligt att deaktivera det aktuella
gränssnittet på den sårbara utrustningen! Cisco rapporterade två
ytterliggare sårbarheter i juli men dessa berör bara Catalyst och
Aironet så jag berör inte det närmare.
Microsoft leder som sagt ligan. Juli inleddes med en sårbarhet som
gör det möjligt att exekvera kommandon i valfri Windows-plattform.
med hjälp av HTLM. Det är HTML-konverteraren, så är inbyggd i
Windows, där man har upptäckt sårbarheten. Se säkerhetsbulletin
MS03-023 för vidare information.
Samma dag släpptes ytterliggare två säkerhetsbulletiner, dels
MS03-025, dels MS03-24. MS03-23 berör Hjälpmedels-funktionen
(Accessibility Utility Manager) i Windows 2000. Genom att skicka
ett Windows-meddelande är det möjligt att helt ta över datorn.
MS03-024 berör fil och printerhanteringen (SMB) i serverversionerna
av Windows NT, 2000 och XP. Felaktigt formaterade SMB-paket gör det
möjligt att krascha servern eller i värsta fall möjliggöra
exekvering av program.
En vecka senare var det dags igen. Säkerhetsbulletin MS03-026 var
näst på tur och berör RPC och DCOM i samtliga aktuella
Windows-versioner. Förenklat kan man genom att skicka viss typ av
data till TCP-port 135, 139 och 445 möjliggöra exekvering av
program på datorn.
Samtidigt släpptes säkerhetsbulletinerna MS03-27 och MS03-028.
MS03-027 berör Windows XP. Genom att formatera desktop.ini på ett
visst sätt är det möjligt att krascha datorn eller exekvera program
på den. MS03-28 berör Microsofts nya "brandvägg", ISA-servern. I
ärlighetens namn skall sägas att denna sårbarhet kräver ett
omfattande arbete innan det är möjligt att exekvera program. Ha
dock i åtanke att är en sårbarhet känd, så utnyttjas den!
En vecka senare var det dags igen. Säkerhetsbulletin MS03-030 var
näst på tur och berör en sårbarhet i DirectX. Genom att skapa en
MIDI-fil med ett visst innehåll är det möjligt att exekvera program
i datorn.
Samtidigt släpptes säkerhetsbulletinerna MS03-29 och MS03-031.
MS03-029 berör filhanteringsfunktionen i Windows NT server. Denna
gång var det dock inte möjligt att exekvera program, utan enbart
möjligt att få enstaka program i servern att krascha. MS03-31 berör
SQL-server. SQL-servern har varit ett sorgebarn vad gäller
sårbarheter. Fixen som blev frukten av MS03-31 inkluderade
rättningar till tidigare såbarheter plus det tre nya såbarheter som
var upphovet till MS03-31. Kör ni SQL-server är det bara till att
patcha servern igen.
Nio sårbarheter på mindre än en månad är nog rekord. Vad värre är
att de flesta av sårbarheterna är allvarliga. Ni som är på väg
tillbaka från semestern och vet med er att ni är sårbara har lite
att ta tag i. Förhoppningsvis har ni redan patchat era servrar
redan samma dag som sårbarheterna rapporterades. Om inte så är det
hög tid att se över era rutiner för detta.
Som slutkläm vill jag åter slå ett slag för iSeries i
sammanhanget. I mars 1999 skrev jag en artikel med rubriken "AS/400
is not vulnerable". Jag ondgjorde mig över att AS/400 (idag läs
iSeries) inte finns med i de rapporteringar som görs från bland
annat CERT. Vad kunde vara bättre marknadsföring än att texten
"iSeries is not vulnerable" följde med i de rapporter som berör
likartade system. Därmed inte sagt att iSeries är fri från
defekter. Ni som var med i Helsingör i maj 2001 fick med egna ögon
se hur man kraschar WebSphere i en AS/400. Dock har jag mycket
svårt att tro att iSeries skulle toppa någon lista över sårbara
system. Den rollen har Microsoft lagt beslag på lång tid
framöver.
© 2003 Thomas Nilsson, Certezza AB
