A Windows-frissítőt használják ki hackerek

Milkovits Gábor, 2007. május 12. 18:29
A Symantec arra figyelmezteti a felhasználókat, hogy hackerek a Windows-frissítések letöltésére szolgáló BITS alkalmazást használják ki rosszindulatú kódok telepítésére.
A Backgroung Intelligent Transfer Service („kb. intelligens átviteli háttérszolgáltatás – BITS”) a Microsoft Windows XP, Vista, illetve Server 2003 operációs rendszerein a hivatalos frissítések letöltésére szolgál, és úgy lett kitalálva, hogy a folyamat ne zavarja a többi hálózati tevékenységet. Elia Florio, a Symantec munkatársa a sajtónak elmondta, hogy a BITS-et http-kompatibilitása, illetve COM API-alapú vezérelhetősége ideálissá teszi arra, hogy gyakorlatilag bármilyen kódot feltöltsenek vele a Windows-ra, és ebbe sajnos bele kell érteni a rosszindulatúakat is. Mivel a BITS része az operációs rendszernek, a rajta keresztül történő letöltések a tartalomtól függetlenül automatikusan megkerülik a helyi tűzfalakat. Trójai programok számítógépre juttatása a tűzfalak megkerülésével nem új ötlet, azonban az igen, hogy ehhez nem saját letöltő kódot, hanem a Windows egy komponensét használják fel a támadók. A módszer egyfelől biztos, másrészt pedig időt és energiát is megtakarít a hackerek számára.

Oliver Friedrichs, a Symantec igazgatója sietett kijelenteni, hogy a BITS kihasználhatósága nem jelenti magának a Windows Update-nek a sebezhetőségét, azaz a szolgáltatással kiadott Microsoft-javítófoltokban továbbra is megbízhatunk. Floria ugyanakkor hozzátette, nem könnyű szabályozni azt, hogy a BITS mit tölthet le és mit nem. Szerinte a szoftverfejlesztők esetleg magasabb jogosultsági fokozathoz köthetnék a program használatát, vagy pedig csak korlátozott számú, megbízhatónak minősített URL-címről engedélyeznék a letöltéseket. A Microsoft egyelőre nem adott ki hivatalos közleményt, vagy nyilatkozatot a kérdésben.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01

Törj be a digitális élvonalba: Nevezd ’Az Év Honlapja’ pályázatra!

2024. november 5. 11:59

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06