Denna spalt är inne på sitt sjunde år och antalet artiklar närmar sig ett tre siffrigt antal. För att fortsätta i statistikens tecken så har det aldrig under denna tid rapporterats så många sårbarheter under en månad som det gjorts under juli.
Microsoft brukar leda all tänkbara statistik vad gäller upptäckta sårbarheter och så är fallet även för juli månad. Mest oroväckande är dock sårbarheten i Cisco IOS. Med vetskapen om att en betydande del av Internet baseras på utrustning som använder Cisco IOS så hamnar sårbarheten i en annan dager. Genom att formatera IPv4 paket på ett visst sätt är det möjligt att deaktivera det aktuella gränssnittet på den sårbara utrustningen! Cisco rapporterade två ytterliggare sårbarheter i juli men dessa berör bara Catalyst och Aironet så jag berör inte det närmare.
Microsoft leder som sagt ligan. Juli inleddes med en sårbarhet som gör det möjligt att exekvera kommandon i valfri Windows-plattform. med hjälp av HTLM. Det är HTML-konverteraren, så är inbyggd i Windows, där man har upptäckt sårbarheten. Se säkerhetsbulletin MS03-023 för vidare information.
Samma dag släpptes ytterliggare två säkerhetsbulletiner, dels MS03-025, dels MS03-24. MS03-23 berör Hjälpmedels-funktionen (Accessibility Utility Manager) i Windows 2000. Genom att skicka ett Windows-meddelande är det möjligt att helt ta över datorn. MS03-024 berör fil och printerhanteringen (SMB) i serverversionerna av Windows NT, 2000 och XP. Felaktigt formaterade SMB-paket gör det möjligt att krascha servern eller i värsta fall möjliggöra exekvering av program.
En vecka senare var det dags igen. Säkerhetsbulletin MS03-026 var näst på tur och berör RPC och DCOM i samtliga aktuella Windows-versioner. Förenklat kan man genom att skicka viss typ av data till TCP-port 135, 139 och 445 möjliggöra exekvering av program på datorn.
Samtidigt släpptes säkerhetsbulletinerna MS03-27 och MS03-028. MS03-027 berör Windows XP. Genom att formatera desktop.ini på ett visst sätt är det möjligt att krascha datorn eller exekvera program på den. MS03-28 berör Microsofts nya “brandvägg”, ISA-servern. I ärlighetens namn skall sägas att denna sårbarhet kräver ett omfattande arbete innan det är möjligt att exekvera program. Ha dock i åtanke att är en sårbarhet känd, så utnyttjas den!
En vecka senare var det dags igen. Säkerhetsbulletin MS03-030 var näst på tur och berör en sårbarhet i DirectX. Genom att skapa en MIDI-fil med ett visst innehåll är det möjligt att exekvera program i datorn.
Samtidigt släpptes säkerhetsbulletinerna MS03-29 och MS03-031. MS03-029 berör filhanteringsfunktionen i Windows NT server. Denna gång var det dock inte möjligt att exekvera program, utan enbart möjligt att få enstaka program i servern att krascha. MS03-31 berör SQL-server. SQL-servern har varit ett sorgebarn vad gäller sårbarheter. Fixen som blev frukten av MS03-31 inkluderade rättningar till tidigare såbarheter plus det tre nya såbarheter som var upphovet till MS03-31. Kör ni SQL-server är det bara till att patcha servern igen.
Nio sårbarheter på mindre än en månad är nog rekord. Vad värre är att de flesta av sårbarheterna är allvarliga. Ni som är på väg tillbaka från semestern och vet med er att ni är sårbara har lite att ta tag i. Förhoppningsvis har ni redan patchat era servrar redan samma dag som sårbarheterna rapporterades. Om inte så är det hög tid att se över era rutiner för detta.
Som slutkläm vill jag åter slå ett slag för iSeries i sammanhanget. I mars 1999 skrev jag en artikel med rubriken “AS/400 is not vulnerable”. Jag ondgjorde mig över att AS/400 (idag läs iSeries) inte finns med i de rapporteringar som görs från bland annat CERT. Vad kunde vara bättre marknadsföring än att texten “iSeries is not vulnerable” följde med i de rapporter som berör likartade system. Därmed inte sagt att iSeries är fri från defekter. Ni som var med i Helsingör i maj 2001 fick med egna ögon se hur man kraschar WebSphere i en AS/400. Dock har jag mycket svårt att tro att iSeries skulle toppa någon lista över sårbara system. Den rollen har Microsoft lagt beslag på lång tid framöver.
© 2003 Thomas Nilsson, Certezza AB
Thomas Nilsson