Microsoft подтвердила информацию о новой уязвимости в Windows

На выходных Microsoft подтвердила, что ранее неизвестная уязвимость, связанная с переполнением буфера, может иметь негативное влияние на безопасность браузерного модуля в Windows.

Уязвимость была обнаружена в прошлый понедельник и стала подарком Microsoft к Дню Святого Валентина. Исследователь безопасности обнародовал подробности и концепцию использования кода.

"Уязвимость в SMB присутствует в функции отчетов об ошибках в CIFS (абб. от common Internet file system) браузерного служебного модуля" - написал в своем блоге Мэтт О (Matt Oh), исследователь безопасности Microsoft.

Microsoft не получила какого-либо предварительного уведомления о уязвимости. "К счастью, PoC-код оказался не самым опасным, поскольку не позволяет осуществлять удаленное выполнение кода и приводит лишь к отказу в обслуживании, хотя изначально было заявлено, что удаленное выполнение кода все же возможно" - пишет О.

Информационный сервис по вопросам безопасности VUPEN присвоила уязвимости критический статус, отметив, что она может быть использована не только для отказа в обслуживании, но и для удаленного запуска вредоносного кода на компьютере.

Но несмотря на оценку VUPEN, уязвимость не может быть использована для удаленного выполнения кода. Во-первых, исследователь безопасности, который обнаружил ее, считает, что удаленное использование уязвимости маловероятно. Кроме того, исследователи из Microsoft заявили, что они не смогли осуществить удаленное исполнение кода. Возможно, это потому, что она работает путем объединения нескольких строк данных, но злоумышленник не может контролировать, где данные заканчивается, что делает внедрение вредоносного кода, по крайней мере теоретически, невозможным.

"Мы пришли к выводу, что часть строки, которую может контролировать злоумышленник, всегда будет находится в выделенном буфере, и злоумышленник не сможет управлять той частью, которая переполняет буфер" - считает О. По этой причине мы пока не увидели, как происходит удаленное выполнение кода".

Хотя эксплойт, вероятно, опасен только ждя локальных сегментов сети, уязвимыми являются все версии Windows, хотя эта проблема, скорее всего, затронет лишь серверные системы, работающие в качестве основного контроллера домена (PDC), написал в своем блоге Марк Водрич (Mark Wodrich), инженер по безопасности ПО в Microsoft. "В грамотно настроенных окружениях браузерный протокол должен быть заблокирован на уровне межсетевого экрана, что позволит ограничить атаки на локальную сеть."

Блокировка протокола браузера требует блокировки или фильтрации UDP и TCP-портов под номерами 138, 139 и 445.


Источник: http://www.informationweek.com
Перевод: houseboy