صفحه اول > راهنماییها

 

 

انتشار وصله امنیتی ADODB

 

شماره : IRCAD8317

تاریخ انتشار: 2 جولای 2004

منبع: us-cert.gov

میزان خطر: متوسط

 

سیستمهای تحت تاثیر:

تمامی نسخه های Microsoft windows

 

چکیده:

روز گذشته یک وصله امنیتی توسط شرکت میکروسافت ارائه شد که بالاخره پس از قریب نه ماه بزرگترین ابزار کار نفوذگران را غیر فعال کرد. ADODB.Stream اکتیواکسی بود که بیش از هر چیز توسط نفوذگران برای ذخیره سازی backdoor بر روی کامپیوترهای  شخصی مورد استفاده قرار میگرفت.

 

توضیح:

یکی از متداول ترین حملات اینترنتی حملات Cross Site Script یا اصطلاحا XSS است. در این کلاس از حملات نفوذگر سعی میکند تا کد مورد نظر خود را در دامنه امنیتی ای غیر از دامنه امنیتی خودش اجرا کند. به صورت معمول هنگام مشاهده یک سایت دامنه امنیتی مرورگر شما Internet Zone است و هیچ کدی حق اجرای مستقیم بر روی کامپیوتر شما را ندارد. اما هنگام مشاهده فایلی که بر روی کامپیوتر خودتان وجود دارد (توسط مرورگر) دامنه امنیتی مرورگر Local Machine Zone یا LMZ است و هر کد یا اسکریپتی امکان اجرا بر روی کامپیوتر شما را دارد (از جمله کدهای مخرب). یک نمونه جدید از شکافهای امنیتی که باعث دستیابی نفوذگر به LMZ میشوند در IRCAD15  ذکر شده است.

پس ازانکه نفوذگر وارد LMZ شد معمولا به دنبال راهی میگردد تا یک برنامه مخرب را از اینترنت بر روی کامپیوتر شما منتقل، ذخیره و اجرا نماید. طی نه ماه اخیر این راه به صورت استاندارد با استفاده از اکتیواکس شرکت میکروسافت به نام ADODB.Stream انجام میشد(اطلاعات  بیشتر در مورد این اکتیو اکس: 870669).

باید تاکید کرد که راههای دیگری جز استفاده از ADODB برای Download و اجرای یک برنامه مخرب وجود دارد.

 

راه حل:

  1. نصب وصله امنیتی میکروسافت
  2. غیر فعال کردن ActiveScripting و Activex Controls در Internet Zone (در قسمت Security Settings برنامه IE). البته غیر فعال کردن این دو در Local Zone هم امنیت بیشتری را برای شما تامین خواهد کرد.
  3. غیر فعال کردن ADODB به صورت دستی. اگر دسترسی به راه حل شماره یک ندارید این راه حل توصیه میشود. وصله امنیتی شماره یک در واقع تنها همین عمل را انجام میدهد.
    1. برنامه RegEdit را اجرا کنید
    2. کلید زیر را در رجیستری بیابید:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility

    1. تحت کلید فوق یک کلید با نام زیر ایجاد کنید:

{00000566-0000-0010-8000-00AA006D2EA4}

    1. تحت این کلید یک DWRORD VALUE با نام Compatibility Flags ایجاد کنید.
    2. مقدار متغیر بالا را برابر 400  به صورت HEX قرار دهید.
    3. برنامه RegEdit را ببندید
  1. به روزرسانی برنامه ضد ویروس (این راه حل در همه مواقع کارا نیست اما بعنوان یک سیاست امنیتی مناسب باید پیگیری شود)

 

لینکهای مرتبط:

اصل خبر

وصله امنیتی ADODB

راهنمایی میکروسافت برای افزایش امنیت IE