r   e   k   l   a   m   a
r   e   k   l   a   m   a

Październikowe łatki Microsoftu: ataki przez Worda, DNS-a i złośliwe fonty

Strona główna AktualnościBEZPIECZEŃSTWO

Październikowe łatanie produktów Microsoftu przyniosło łącznie 62 poprawki. Dotyczą one licznych komponentów Windowsa, Internet Explorera, Microsoft Edge, Microsoft Office i Skype for Business – można więc powiedzieć, że nic szczególnego. Wśród nich znalazły się jednak trzy luki 0-day, z których przynajmniej jedna, w edytorze Word, już w sierpniu br. była wykorzystywana do wykradania wrażliwych danych.

Exploit 0-day, oznaczony jako CVE-2017-11826, pozwala na zdalne uruchomienie kodu w wszystkich wersjach Microsoft Worda od wydania 2007, ale także w Word Automation Services oraz Microsoft Office Web Apps Server. Odkryty przez ekspertów z chińskiej firmy Qihoo 360 szkodnik przenoszony był w plikach RTF, w których osadzono uzłośliwiony plik DOCX. Uruchamiany przez niego kod służył do wyszukania plików dokumentów na komputerze i wgraniu ich na serwer napastnika.

Kolejne dwa wcześniej już znane błędy dotyczą podatności na atak DoS w linuksowym podsystemie Windowsa WSL (CVE-2017-8703) oraz podadności na atak XSS w Microsoft SharePoint Serverze, pozwalającym na podwyższenie uprawnień kodu (CVE-2017-11777). Microsoft zapewnia jednak, że nikt z tych błędów nie korzystał. W to nie wątpimy – wbudowany w Windowsa Linux wciąż rzadko kiedy jest aktywowany i używany, a SharePoint to produkt raczej minionej epoki.

r   e   k   l   a   m   a

Pozostałe (wcześniej publicznie nieznane) atrakcje październikowych wydań to:

  • Dwa błędy w bibliotece fontów Windowsa: CVE-2017-11762 oraz CVE-2017-11763 pozwalają stronom internetowym i dokumentom na uruchomienie kodu osadzonego w uzłośliwonych fontach.
  • Łącznie aż 19 błędów w silniku skryptowym Internet Explorera i Microsoft Edge (np. CVE-2017-11792), pozwalających na zdalne uruchomienie kodu przez przeglądarkę. Praktycznie wszystkie dotyczą błędnej obsługi obiektów w pamięci.
  • Dwa błędy w powłoce systemowej Windowsa, CVE-2017-8727 i CVE-2017-11819, pozwalające oczywiście na zdalne wykonanie kodu. W pierwszym wypadku chodzi o Microsoft Windows Text Services Framework – błąd w nim pozwala na zaatakowanie systemu przez stronę otwartą w Intenet Explorerze. W drugim atak jest możliwy zarówno przez Internet Explorera jak i Edge.
  • Zdalnie uruchomić kod można też przez usługę Windows Search. CVE-2017-11771 pozwala na atak za pomocą odpowiednio spreparowanych nagłówków protokołu SMB. Odkrywca tej luki, Jimmy Graham z firmy Ovum podkreśla, że luka nie ma nic wspólnego z samym SMB ani podatnościami wykorzystywanymi przez exploit EternalBlue.
  • Problem jest też z klientem DNS Windowsa – luka CVE-2017-11779 pozwala złośliwemu serwerowi DNS na zdalne wykonanie kodu. Problem tkwi w przetwarzaniu rozszerzeń DNSSEC i jest raczej poważny, w końcu każdy może postawić taki złośliwy serwer DNS np. w kawiarni i czekać, aż klienci podłączą się do sieci Wi-Fi lokalu. Szczegóły znajdziecie na blogu odkrywcy, Nicka Freemana.

Warto też wspomnieć o wydanym w tym miesiącu ostrzeżeniu ADV170012, dotyczącym błędu w czipach Trusted Platform Module na płytach głównych Infineon. Z jego winy generowane klucze kryptograficzne były słabe, a to oznacza, że skuteczność szyfrowania w oprogramowaniu bazującym na TPM, takim jak BitLocker Microsoftu, staje się wątpliwa. Zagrożenie dotyczy głównie komputerów firm HP, Lenovo i Fujitsu i może być usunięte tylko przez aktualizację firmware. Więcej informacji znajdziecie na stronie Infineona.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.