15 августа

Открытие, возможно, было сделано через сайт американской службы компьютерной безопасности Министерства внутренней безопасности, которое теперь классифицирует данную уязвимость как "уязвимость протокола обработки URL в Windows". Рассматриваемая функция - старый фаворит авторов вредоносного ПО: ShellExecute(), была причиной печально известного эксплойта в Windows 2000 четыре года назад.

В то время как Microsoft всё еще должна выпустить официальное заявление, или бюллетень, объясняющий данное открытие, компания, вероятно, была проинформирована службой компьютерной безопасности относительно её существования. На официальном сайте правительства США с сегодняшнего утра можно прочитать: "Мы в настоящее время не знаем практического решения этой проблемы".

Проблема, как теперь кажется, состоит в следующем: после установки IE 7 в систему, или при установке новой ОС, с присутствующим IE 7, функция API ShellExecute() обрабатывается по-другому. Это вызов (или один из вызовов), который вызывает приложение в Windows, когда хочет запустить другое приложение.

Когда браузер получает URL, содержащий идентификатор ресурса, который, очевидно, не является http://, браузер ищет в реестре внешнее приложение, связанное с данным идентификатором. После чего запускается приложение, о котором сообщил реестр, и ему передаются параметры из URL.

Преднамеренно вредоносный URL - который открывает браузер для выполнения удалённого непроверенного двоичного кода. В своём блоге Билли Риос (Billy Rios), главный консультант по безопасности в VeriSign, написал, что он и коллеги смогли использовать эксплойт, который позволил вызвать удалённый код из браузера Firefox. Как только в систему устанавливается IE 7, Firefox становится уязвимым, как и Netscape Navigator 9 и Mozilla.

"Время внимательно взглянуть на зарегистрированные обработчики URL, и на то, как браузеры с ними взаимодействуют" - написал Риос.

Это заставило эксперта по безопасности Windows, и бывшего работника Microsoft Джаспера Йоханнсона (Jesper Johannson), присоединить Риоса к заданию о публикации новости о эксплойте, дав Mozilla Foundation возможность первой залатать дыру. Его вывод, конечно, состоит в том, что ответственна за проблему Mozilla Foundation, ответственность эту глава по безопасности в Mozilla Foundation Виндоу Снайдер (Window Snyder), с известным сожалением, таки принял.

После чего внутренний наблюдатель за ошибками Mozilla Foundation сообщил, что проблема с обработчиком URL, которую обнаружил Риос, была решена. Если эти данные точны, то скоро должен быть выпущен новый патч, на этот раз блокирующий возможность Firefox обрабатывать вредоносные URL, которые заканчиваются тем, что содержат нулевой параметр, и таким образом открывают браузер для использования удалённого кода.

Но даже если Firefox вышла из этого скандала с патчами, хоть и с опущенным хвостом, останется ли корень проблемы нетронутым? Другими словами, будет ли, во-первых, функции Windows API, которая передавала вредоносную URL в Firefox, разрешено остаться, если и IE 7 и Firefox способны отфильтровывать вредоносный нулевой параметр.