Microsoft: vulnerabilità in Aero con Windows 7 a 64bit

Microsoft: vulnerabilità in Aero con Windows 7 a 64bit

Microsoft conferma un problema in Aero su sistemi Windows 7 a 64bit

di pubblicata il , alle 15:31 nel canale Sicurezza
MicrosoftWindows
 

Nella serata di ieri Microsoft ha confermato l'esistenza di un problema di sicurezza in Windows 7 x64, Windows Server 2008 R2 x64 e Windows Server 2008 R2 for Itanium. Come riportato in questo Security Advisory, la vulnerabilità è stata individuata all'interno del Windows Canonical Display Driver (cdd.dll) che ha il compito di far interagire tra loro Windows Graphics Device Interface (GDI) con DirectX.

La vulnerabilità è relativa alle tecnologie Aero introdotte nei più recenti sistemi operativi di Microsoft, quindi questa vulnerabilità è meno preoccupante sui prodotti server su cui di default l'interfaccia Aero risulta disattivata e difficilmente l'utente la utilizza. Nel caso di Windows 7 Microsoft sottolinea come l'exploit potrebbe causare instabilità di sistema e un ciclo di restart.

Situazioni più pericolose vengono al momento considerate difficilmente concretizzabili anche se il condizionale è d'obbligo. Infatti, bisognerebbe riuscire ad aggirare i sistemi di allocazione della memoria intervenendo su kernel e Address Space Layout Randomization (ASLR) riuscendo quindi a portare in esecuzione sul PC codice malevolo. Per fare ciò sarebbe anche necessario portare l'utente a visitare un particolare sito web costruito ad hoc.

Il prossimo aggiornamento programmato da Microsoft è ormai per l'inizio del mese di giugno, anche se non è del tutto scontata la disponibilità di una patch dedicata per questo problema. Per il momento l'unica soluzione in grado di mettere al sicuro da questo problema è la disabilitazione di Aero. Qualche dettaglio in più è disponibile qui.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

51 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Crisa...19 Maggio 2010, 15:48 #1
spero vivamente che nessuno sia cosi' idiota ad usare aero su windows server
santox19 Maggio 2010, 15:52 #2
microsoft non ti smentisci mai...
aero ? Io nemmeno nella versione desktop lo uso ... non è mai servito a niente nel concreto...
inatna19 Maggio 2010, 15:54 #3
Non proprio un ciclo di restart (sembra un loop da come viene riportata la notizia, cosa che non è affatto), piuttosto un blocco e riavvio (canonica BSOD elevata dal kernel). La causa è da ricercarsi nel parser del WCDD che in certe condizioni intepreta male alcuni set di dati copiati da user mode a kernel mode. L'exploit a livello di sistema operativo è praticamente escludibile, dato che sarebbe necessario scrivere codice eseguibile nella memoria del kernel (cosa de facto assai difficile, per via appunto dell'ASLR).

Il sito web viene citato in causa per un semplice motivo: si fa leva su applicazioni di visualizzazione immagini che usano le API GDI per renderizzare le immagini, caricando un immagine malformata ad hoc, allo scopo di scatenare l'errore (da vedere più come un blocco della macchina, non un exploit)

Originariamente inviato da: santox
microsoft non ti smentisci mai...
aero ? Io nemmeno nella versione desktop lo uso ... non è mai servito a niente nel concreto...


Lo capiremo mai che il software perfetto, che sia prodotto da Microsoft o da qualsiasi software house/manipolo di programmatori sul pianeta, non esiste?

Anzi, tale problema è scaturito proprio a causa della forzata retrocompatibilità con GDI nel compositing engine.
Human_Sorrow19 Maggio 2010, 15:55 #4
Originariamente inviato da: Crisa...
spero vivamente che nessuno sia cosi' idiota ad usare aero su windows server




Originariamente inviato da: santox
microsoft non ti smentisci mai...


pabloski19 Maggio 2010, 16:05 #5
bah vedremo più in là se l'exploit è possibile o meno...per ora si sappia che in passato aslr non ha certo impedito ai rootkit kernel mode di prosperare

quindi non partirei dal presupposto aslr = invulnerabilità, altrimenti commetteremmo lo stesso errore di molti che hanno creduto windows 7=invulnerabilità o addirittura windows 7 64 bit=invulnerabilità....perchè poi la 64 bit dovrebbe essere meno vulnerabile non è mai stato chiaro

serpone19 Maggio 2010, 16:05 #6
Mi hanno detto che è caduto un AERO con su il personale Microsoft, è vero???!?!!?!?!?!??!
inatna19 Maggio 2010, 16:15 #7
Originariamente inviato da: pabloski
perchè poi la 64 bit dovrebbe essere meno vulnerabile non è mai stato chiaro


Per diversi motivi: DEP hardware (contro il DEP software delle versioni x86, necessario per alcuni limiti hardware della specifica), presenza del PatchGuard (che inibisce la modifica/sostituzione/estensione di parti del kernel a runtime, anche a driver che girano in kernel mode, uno dei tanti motivi che ha fatto piovere madonne ai produttori di software AV nei primi tempi) che in caso di modifiche, arresta il sistema (esistono una serie di documenti circa l'aggirabilità di tale misura, ma non mi pare si siano mai visti dei POC che attuassero tali tecniche), firma digitale forzata dei driver (disattivabile con un comando da administrator + reboot della macchina).

Concordo con te che non bisogna MAI dare per scontato che tali tecnologie possano blindare completamente un sistema, ma è altrettanto vero che la loro implementazione ha indubbiamente contribuito a rendere il sistema operativo più sicuro rispetto a com'era solo pochi anni fa, nelle declinazioni precedenti.
jokerpunkz19 Maggio 2010, 16:15 #8
Originariamente inviato da: inatna
Lo capiremo mai che il software perfetto, che sia prodotto da Microsoft o da qualsiasi software house/manipolo di programmatori sul pianeta, non esiste?


questo per me è chiaro, solo che non mi è chiaro (ma ironico) pensare che un OS che è basato su pilastri di pupù
(queso si vede proprio nella retocompatibilità: molti degli altri os sono retrocompatibili, ma la struttura solida su cui sono stati basati li lascia abbastanza più indenni da vulnerabilità....chiaro non sono invulnerabili! )
debba anche essere anche il piu venduto al mondo

se non altro è rincuorante che se ne siano accorti del bug...ottimo!
ant-coco19 Maggio 2010, 16:18 #9
come si disabilita AERO????
inatna19 Maggio 2010, 16:19 #10
Originariamente inviato da: jokerpunkz
questo per me è chiaro, solo che non mi è chiaro (ma ironico) pensare che un OS che è basato su pilastri di pupù


Punti di vista. In base a cosa reputi che i "pilastri" di NT6 siano "di pupù"? Puoi argomentare meglio?

(queso si vede proprio nella retocompatibilità: molti degli altri os sono retrocompatibili, ma la struttura solida su cui sono stati basati li lascia abbastanza più indenni da vulnerabilità....chiaro non sono invulnerabili! )


Punti di vista anche in questo caso.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^