Открытие названного определённым образом файла ведёт к сбоям на Windows 8.1 и более ранних версиях
Прошлое напоминает о себе: российский исследователь обнаружил незамысловатый баг в файловой системе NTFS, который раз за разом нарушает работу систем от Windows Vista до Windows 8.1.
Как и с печально известным багом /con/con на Windows 95/98, нужно лишь назвать файл $MFT, и Windows в лучшем случае зависнет, а в худшем – появится «синий экран смерти».
Файл $MFT – это системный файл NTFS. Он описывает расположение всех файлов тома, их логическое расположение в папках, физическое расположение на жёстком диске и метаданные файла.
Но когда Windows пытается открыть такой файл как обыкновенный посредством функции NtfsFindStartingNode, эта функция его не находит. Исследователь утверждает, что Windows начинает искать его в корне файловой системы.
В этот раз система попытается открыть файл как директорию посредством NtfsFindStartingNode, но на следующей стадии цикла обнаружит, что файл директорией не является, и процесс будет завершён с ошибкой.
Затем Windows попытается ограничить доступ к файлу с помощью NtfsTeardownStructures. Это не получится, так как при монтировании его открывает файловая система. В результате Windows будет бесконечно повторять процесс и зависнет.
По существу, это значит, что если использовать SMFT как часть директории (к примеру, C:$MFTfoo), то в системе произойдёт сбой. В итоге доступ к файлу $MFT останется «захваченным навсегда», и компьютер зависнет до перезагрузки.
Самый распространённый метод использования этого бага – заставить пользователя с помощью браузера открыть веб-страницу, которая содержит смертоносное имя файла. К примеру, открытие веб-адреса, запрашивающего файл изображения C:$MFTBummer, приведёт к сбою.
Как бы то ни было, браузер Chrome подобную атаку блокирует, так как не загружает изображения с искажённой директорией.
К сожалению, Internet Explorer и Firefox позволят компьютеру загрузить подобные файлы, и система из-за этого пострадает.
Впрочем, есть и две хороших новости. Во-первых, система Windows 10 от этих атак защищена. Во-вторых, и это палка о двух концах, баг только вызывает системный сбой. Его невозможно использовать (по крайней мере, пока) для распространения программ-вымогателей или других вредноносных программ на Windows наподобие WannaCry.
На настоящий момент избавляющие от проблемы патчи не выпущены.
31.05.2017 11:18
