Nie mylić z:iXpress.| Komponentsystemu Windows | |
| Rodzaj | program narzędziowy |
|---|---|
| Dołączony do wersji | Windows 2000 i nowsze |
IExpress – komponent systemuWindows 2000 i nowszych, pozwalający stworzyćpakiety samorozpakowujące ze zbioru plików. Pakiety te mogą służyć doinstalacji oprogramowania.
IExpress (IEXPRESS.EXE) może być wykorzystywany do dystrybucji samodzielnych pakietów instalacyjnych (bazujących naplikach INF) do wielu lokalnych lub zdalnych komputerów z systememWindows. Tworzy samorozpakowujący się plik wykonywalny (.EXE) lub archiwum typuCabinet (.CAB) poprzezinterfejs graficzny (IExpress Wizard) lub określony plik z instrukcjami (Self Extraction Directive, .SED)[1]. Pliki SED można modyfikować za pomocą dowolnego prostego edytora tekstu, takiego jakNotatnik. Wszystkie samorozpakowujące się pliki stworzone przez IExpress używają algorytmów kompresjiCAB, są kompresowane za pośrednictwem narzędziaCabinet Maker (MAKECAB.EXE)[2] oraz są rozpakowywane z użyciem narzędziaWExtract (WEXTRACT.EXE).
IEXPRESS.EXE znajduje się w folderzeSYSTEM32 zarówno 32-bitowych jak i 64-bitowych wersji systemu Windows. Jego interfejs (IExpress Wizard) może zostać załadowany poprzez ręczne otwarcie odpowiedniegofolderu i uruchomieniepliku wykonywalnego (IExpress.exe) albo poprzez wpisanie polecenia IExpress w oknie Uruchom wywołanego zmenu Start. Program może również użyty z liniiwiersza poleceń czypliku wsadowego celem stworzenia własnych pakietów instalacyjnych, nienadzorowanych przez użytkownika (tj. działających automatycznie):
IEXPRESS /N litera_dysku:\nazwa_folderu\nazwa_pliku.SED
Interfejs programu (IExpress Wizard) prowadzi użytkownika krok po kroku przez proces tworzenia pakietu samorozpakowującego. Pyta, co ma zrobić dany pakiet: czy rozpakować pliki i uruchomić określony program, czy tylko wypakować pliki. W następnych krokach, kreator umożliwia nadanie tytułu pakietowi, dodanie okna z potwierdzeniem, dodanielicencji użytkownika którą użytkownik końcowy musi zaakceptować celem rozpakowania pakietu, wybranie plików do zarchiwizowania, skonfigurowanie opcji dotyczących wyświetlania postępu rozpakowywania oraz określenie komunikatu jaki ma się pojawić na sam koniec.
Jeżeli w czasie pracy kreatora zostanie zaznaczona opcja stworzenia pakietu i uruchomienia danego programu, interfejs wyświetli dodatkowy krok pozwalający na wybór określonej aplikacji, która uruchomi się po rozpakowaniu pakietu.
Pakiety samorozpakowujące utworzone w IExpress mają (nieodłączne) luki bezpieczeństwa pozwalające nazdalne wykonanie kodu(inne języki) ze względu na sposób obsługi poleceń instalacyjnych oraz przetwarzania linii poleceń[3][4]. Co więcej, z powodu w jaki sposóbKontrola konta użytkownika traktuje instalatory, luki te mogą pozwolić naeskalację uprawnień[5][6].
Konkretniej, dwie nieodłączne luki w IExpress to:
O ile druga luka została naprawiona przez Microsoft w biuletynie bezpieczeństwa MS14-049, to w przypadku pierwszej jedynie wydano zalecenie nie używania IExpress[6]. Dodatkowo możliwe jest również użycieexploituprzechwytywaniaDLL (ang. DLL hijacking)[7].