SecurityLab.ru, портал в рунете по информационной безопасности, предупреждает о критической уязвимости в Microsoft Windows Agent ActiveX. SecurityLab.ru рекомендует незамедлительно установить обновление на уязвимые системы.
Какова область воздействия данной уязвимости?
Удаленный пользователь может с помощью специально сформированного .ACF файла вызвать переполнение буфера и выполнить произвольный код на целевой системе. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может установить полный контроль над уязвимой системой. Таким образом, злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
В чем причина уязвимости?
Уязвимость существует из-за неизвестной ошибки в Microsoft Agent ActiveX компоненте при обработке .ACF файлов.
Какие системы уязвимы?
Уязвимы все компьютеры, на которых запущена любая версия Windows 2000/XP/2003 и в качестве Интернет браузера используется Internet Explorer любой версии.
Что может сделать злоумышленник, воспользовавшись этой уязвимостью?
Воспользовавшись уязвимостью, злоумышленник может получить полный контроль над системой.
Каким образом злоумышленник может воспользоваться уязвимостью?
При атаке через электронную почту злоумышленник может использовать уязвимость, отправив пользователю ссылку на Web сайт злоумышленника и убедив пользователя кликнуть на эту ссылку.
В случае атаки через Интернет злоумышленник должен разместить на веб-узле .ACF файл, предназначенный для использования этой уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения пользователей, могут иметь специальное содержимое, использующее данную уязвимость. Злоумышленник не может заставить пользователя посетить свой веб-узел. Вместо этого он старается склонить их посетить веб-узел, убеждая, как правило, кликнуть на ссылку.
Какие системы в первую очередь подвергаются риску?
В первую очередь риску воздействия подвергаются рабочие станции и серверы терминалов. Серверы подвергаются повышенному риску в тех случаях, когда пользователи, обладающие достаточными административными полномочиями, получают возможность зарегистрироваться на серверах и запускать программы. Однако общепринятой практикой настоятельно рекомендуется не предоставлять пользователям таких полномочий.
Было ли объявлено об этой уязвимости до выпуска этого бюллетеня безопасности?
Нет. Данный бюллетень описывает уязвимость, о которой сообщалось в частном порядке, а также дополнительные проблемы, обнаруженные в результате внутреннего исследования.
Где можно более подробно узнать о уязвимости и способах ее устранения?
Подробное описание можно прочитать тут и тут.