Microsoft подтвердила новую уязвимость в Windows

Вчера днем, спустя несколько часов после публикации эксплойта, Microsoft подтвердила информацию об уязвимости в Windows. Компания активно работает над патчем, но пока не планирует выпускать внеочередное обновление. Windows 7 и Windows Server 2008 R2 уязвимости не подвержены.

Первая информация об уязвимости появилась 15 декабря на южнокорейской конференции по безопасности, но получила явно больше внимания во вторник, когда исследователем Джошуа Дрейком (Joshua Drake) был опубликован инструментарий Metasploit.

По данным Metasploit, в случае успешной атаки, внедрившееся вредоносное ПО может использовать зараженные компьютеры для получения информации.

Уязвимость найдена в модуле обработки графики, который некорректно обрабатывает миниатюры изображений, и может быть запущен, когда пользователь просматривает папку, содержащую специальным образом созданные миниатюры, или же когда он открывает или просматривает некоторые документы Office.

Microsoft признала наличие уязвимости и заявляет, что ей подверждены Windows XP, Vista, Server 2003 и Server 2008. Windows 7 и Server 2008 R2 уязвимости не подвержены.

Злоумышленники могут задействовать вредоносные документы PowerPoint или Word, содержащие специальным образом созданные эскизы, а затем получить с их помощью контроль над ПК, если документ был открыт или даже просмотрен, говорят в Microsoft. Атакующие могут взломать компьютер, убедив пользователей просмотреть зараженные миниатюры в общей сетевой папке/диске, либо в папке WebDAV.

"Данная уязвимость позволяет осуществить удаленное выполнение кода. Злоумышленник, воспользовавшийся этой уязвимостью, может получить полный контроль над системой" - предупреждают в Microsoft.

"Уязвимость реализуется путем установки количества цветовых индексов в таблице цветов [из файла изображения] на отрицательное значение" - добавил Йоханнес Ульрих (Johannes Ullrich), главный исследователь SANS Institute.

Microsoft рекомендует временное решение проблемы, которое защитит ПК от атак, пока патч не будет выпущен. Это решение добавляет ограничения на файл "shimgvw.dll" - компонент, затрагивающий миниатюры файлов Windows - и требует от пользователя ввода набора символов в командной строке. Это, однако, означает, что медиа-файлы, обычно обрабатываемые модулем обработки графики, будут отображаться некорректно, говорят в Microsoft.

Хотя Microsoft заявляет, что не зафиксировано случаев атак с использованием этой уязвимости, новая ошибка попадет в растущий список неисправленных уязвимостей, сказал Эндрю Стормс (Andrew Storms), директор по безопасности в nCircle Security.

"Давление на Microsoft растет" - говорит Стормс. "Компания ведет работу над устранением другой уязвимости zero-day [Internet Explorer], а также ошибкой в WMI Active X [22 декабря]. Есть злополучная история с cross_fuzz, а теперь ошибки при обработке изображений - все это сулит Microsoft веселый новый год.

Microsoft подтвердила критическую ошибку в IE двумя неделями ранее, когда инженер по безопасности Google Михал Залевски (Michal Zalewski) предоставил доказательства, тому что китайские хакеры использовали уязвимости в браузере Microsoft (прим. редактора - правда, он не отметил, что браузеру почти 10 лет).

В прошлом году Microsoft выпустила рекордное количество бюллетеней безопасности - в общем счете было выпущено 106 бюллетеней, устраняющих 266 уязвимостей в различных продуктах компании. Следующий цикл обновлений запланирован на вторник 11 января. Тем не менее, очень маловероятно, что Microsoft успеет подготовить патч к следующей неделе.


Источник: http://www.computerworld.com
Перевод: houseboy