Microsoft неправильно исправила уязвимость, которую использовал червь Stuxnet

Тема в разделе "Новости информационной безопасности", создана пользователем regist, 11 мар 2015.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Специалисты security-сообщества Zero Day Initiative (ZDI) опубликовали информацию о новой критической Remote Code Execution уязвимости в Windows (CVE-2015-0096), которую Microsoft закрыла обновлением MS15-020. Особенность этой уязвимости заключается в том, что она появилась еще в 2010 г., когда Microsoft выпустила обновление для исправления печально известной уязвимости CVE-2010-2568, позволявшей исполнять произвольный код в системе с помощью специальным образом сформированного .LNK файла (файл ярлыка).

    2594eda1eb2b48b3bd4da6403ad38751.png

    Эта уязвимость использовалась червем Stuxnet для своего распространения и, как теперь стало известно, на протяжении последних пяти лет после выпуска исправления, пользователи по-прежнему находились под угрозой возможной эксплуатации. Файлы типа .LNK позволяют указывать в своем теле ссылку на исполняемый PE-файл, из которого Windows может взять значок для отображения его в оболочке (Explorer).

    Уязвимости CVE-2015-0096 (DLL Planting Remote Code Execution Vulnerability) подвержены все версии Windows, включая, новейшую Windows 8.1 и Windows 10 TP. Как видно из описания этой уязвимости, которое было сделано самой Microsoft, механизм ее эксплуатации совпадает с уязвимостью 2010 г. (CVE-2010-2568), атакующий может разместить вредоносный .LNK файл на съемном накопителе и в случае включенного механизма автозапуска исполнить вредоносную программу в системе. То же самое может относиться и к другим источникам файлов, включая, сетевое расположение, вредоносный веб-сайт.

    Обновление MS15-020 адресуется библиотеке Shell32.dll (KB3039066).

    источник.
     
    ScriptMakeR нравится это.
  2. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.476
    Симпатии:
    4.305
    Не могу понять, зачем здесь включенный режим автозапуска.
    Иконка считывается в любом случае.
     

Поделиться этой страницей