A Microsoft a múlt héten hat biztonsági közleményt adott ki, amelyekkel összesen 12 sérülékenységet szüntetett meg a Windowsban, az Office-ban és az Internet Explorerben. A cég azonban ezek mellett egy olyan "frissítést" is elérhetővé tett, amely szintén biztonsági célokat szolgál, de ezt nem éppen a megszokott módon teszi. A Microsoft ugyanis úgy határozott, hogy az Indeo kodekben lévő sebezhetőségeket a régebbi operációs rendszereinek esetében nem javítja ki, hanem inkább korlátozza annak működését.
Az Indeo 1992 óta tölt be szerepet a multimédiás tartalmak kezelésében. Az Intel által kifejlesztett kodek az évek során meglehetősen nagy népszerűségre tett szert. Emiatt a hekkerek, illetve a biztonsági kutatók is többször górcső alá vették, aminek következtében számos sérülékenységére derült fény. Komoly probléma, hogy egyes Windows operációs rendszerek esetében ezek a biztonsági rések a mai napig jelen vannak, és akár Interneten keresztül is kihasználhatók. A Microsoft ezért úgy határozott, hogy segít csökkenteni a kockázatokat, azonban mindezt meglehetősen szokatlan módon tette. A cég ugyanis az egyik frissítésével az Indeo kodek használatát az Internetes tartalmak vonatkozásában jelentősen korlátozta. Emiatt az Internet Explorer és a Windows Media Player a frissítés telepítése után nem fogja megjeleníteni, illetve lejátszani azokat a tartalmakat, amikhez Indeo is kell. Kivétel ez alól, ha a videó legalább Intranet biztonsági zónából származik.
A Microsoft hangsúlyozta, hogy az Indeo mostani korlátozása kizárólag a Windows 2000, a Windows XP valamint a Windows Server 2003 operációs rendszereket érinti. Fontos megjegyezni, hogy ezen rendszerek esetében sem kell attól tartani, hogy az Indeo-t használó multimédiás alkalmazások, illetve játékprogramot nem fognak működni, ugyanis a helyi tartalmak megjelenítését nem érinti a frissítés. Kizárólag az internetes forrásokból származó videók kezelésére vonatkoznak az új megkötések.
Jelenleg nem lehet biztosan tudni, hogy az Indeo kodek hány és milyen veszélyességű biztonsági rést rejt. Annyi biztos, hogy a VeriSign iDefense valamint a Fortinet is számolt be ilyen sebezhetőségekről. Ráadásul a Fortinet már több mint egy éve értesítette a Microsoftot az által felfedezett Indeo hibáról. A Microsoft annyit közölt ezzel kapcsolatban, hogy az általa ismert sérülékenységek - speciálisan szerkesztett multimédiás állományok révén történő - kihasználásával jogosulatlan távoli kódfuttatásra nyílhat lehetőség.
A Microsofttól nem igazán megszokott, hogy a biztonsági réseket ilyen módon szünteti meg. Azonban nem is példa nélküli, hiszen például tavaly szeptemberben a Windows 2000 egyik, TCP/IP-kezeléssel összefüggő sérülékenységét sem orvosolta, mondván a hibajavítás jelentős mértékű, architektúrális módosításokat igényelne az operációs rendszerben.
Az Indeo kodekhez elérhető biztonsági frissítés a Microsoft automatikus frissítési szolgáltatásainak segítségével szerezhető be, vagy a cég weboldalairól tölthető le.
A hír a Computerworld biztonság rovatában jelent meg.
Nem kell a hibás Indeo kodek a Microsoftnak
Meglehetősen komoly vitákat váltott ki a Microsoft azon lépése, melynek során egy videokodek működését korlátozta ahelyett, hogy megszüntette volna az abban rejlő sebezhetőségeket.
Hirdetés
Hirdetés