Pull to refresh

MS закрыла вчера 17 уязвимостей, в числе которых DLL Preloading/Hijacking и последняя незакрытая уязвимость из червя Stuxnet

Information Security
MS выпустила вчера большое количество заплат, многие из этих уязвимостей известны уже не первый месяц. А некоторые из них уже вовсю использовались во вредоносных программах, собственно откуда и была получена информация о них.

MS10-090 (IE) — это комплексный пакет патчей закрывающий целую пачку брешей (CVE-2010-3340, CVE-2010-3342, CVE-2010-3343, CVE-2010-3345, CVE-2010-3346, CVE-2010-3348, CVE-2010-3962). Большинство из этих прелестных уязвимостей позволяют удаленное выполнение кода под IE6/IE7/IE8.

MS10-091 (Opentype Font driver) — это обновление также закрывает целый букет уязвимостей (CVE-2010-3956, CVE-2010-3957, CVE-2010-3959) в Opentype Font driver (OTF), которые могут привести к удаленному выполнению кода. Злоумышленник может создать специально подготовленный OpenType шрифт на сетевой шаре и при просмотре в Windows Explorer происходит выполнение произвольного кода, который будет выполняться с правами системы.

MS10-092 (Task Scheduler) — это последняя незакрытая уязвимость, которая оставалась от червя Stuxnet и использовалась им для поднятия локальных привилегий до уровня системы на Vista/Win7. Что интересно это уязвимость работоспособна на x64 системах тоже и стала вовсю использоваться в последних модификациях руткита TDL4. Подробное описание уязвимости есть в исследовании от ESET "Stuxnet under the microscope" на странице 39. Кстати, исследовательская команда (Aleksandr Matrosov, Eugene Rodionov, Juraj Malcho и David Harley) подготовившая этот отчет добавлена в acknowledgments лист к этой узявимости.

DLL Preloading Issues (MS10-093, MS10-094, MS10-095, MS10-096, MS10-097) — это опять же целый комплекс патчей, но связанный одной целью закрыть уязвимости позволяющие подмену динамических библиотек в процессе их загрузки. Некоторые из этих патчей закрывают эту брешь в стандартных приложениях, таких как windows Address Book или windows Movie Maker. А вот в MS10-095 была исправлена действительно серьезная брешь, позволяющая выполнить удаленно произвольный код при переходе по специально сформированному WebDAV пути и открытии файла, который подменяется на произвольный. Первыми этот метод показали ребята из Metasploit Ptoject предоставившие в открытий доступ рабочий эксплойт еще в августе.

MS10-098 — и снова закрыт целый набор уязвимостей (CVE-2010-3941, CVE-2010-3942, CVE-2010-3943, CVE-2010-3944), но на этот раз уже для ядра. Все они предназначены для поднятия локальных привилегий до уровня системы и закрыты благодаря исследователю Tarjei Mandt из Norman. Часть из них подробно описана у него в блоге.

Помимо выше описанных был также закрыт еще ряд следующих уязвимостей:
MS10-099 (Routing and Remote Access NDProxy component) — Elevation of Privilege
MS10-100 (Consent User Interface) — Elevation of Privilege
MS10-101 (Netlogon RPC Service) — Denial of Service
MS10-102 (Hyper-V) — Denial of Service
MS10-103 (Microsoft Publisher) — Remote Code Execution
MS10-104 (Microsoft SharePoint) — Remote Code Execution
MS10-105 (Microsoft Office Graphics Filter) — Remote Code Execution
MS10-106 (Microsoft Exchange) — Denial of Service

Спасибо пользователю systracer, за то что обратил внимание на то, что уязвимость CVE-2010-4398 по прежнему актуальна. Она связанна с переполнением стека из-за SystemDefaultEUDCFont и позволяет повысить привилегии до уровня системы на большом количестве платформ включая и x64 тоже.
Tags:MicrosoftуязвимостипатчиStuxnetESET
Hubs: Information Security
Total votes 38: ↑36 and ↓2 +34
Views811

Popular right now