В этой статье речь пойдет об уязвимости в Microsoft Office Web Components ActiveX компоненте и других уязвимостях нулевого дня.
Марчук Валерий
Редактор SecurityLab.ru, MVP in Enterprise Security
Уязвимость нулевого дня или 0-day – это ранее неизвестная уязвимость, которая эксплуатируется злоумышленниками в сетевых атаках. Подобные уязвимости мы оцениваем как критические и рекомендуем всем читателям немедленно принимать меры по их устранению.
В этой статье речь пойдет об уязвимости в Microsoft Office Web Components ActiveX компоненте и других уязвимостях нулевого дня.
В период с 2006 по июль 2009 года было обнаружено 24 уязвимости нулевого дня. Из них 19 уязвимостей в продуктах Microsoft.
Рис.1 Уязвимости нулевого дня за 2006-2009 гг, статистика SecurityLab.ru
Как видно на Рис. 1, количество уязвимостей нулевого дня в первом полугодии 2009 года превышает общее количество уязвимостей, обнаруженных в 2007 и 2008 годах. Это свидетельствует о повышении интереса злоумышленников к подобным уязвимостям. Не исключено, что именно финансовый кризис стал этому причиной.
Уязвимость |
Месяц выхода |
Дней до выхода исправления |
2006 |
||
Май |
25 |
|
Июнь |
24 |
|
Август |
0* |
|
Август |
0* |
|
Сентябрь |
35 |
|
Выполнение произвольного кода в Microsoft Visual Studio WMI Object Broker ActiveX компоненте |
Ноябрь |
41 |
Декабрь |
64 |
|
2007 |
||
Январь |
18 |
|
Февраль |
81 |
|
Уязвимость при обработке анимированного курсора в Microsoft Windows |
Март |
4 |
2008 |
||
Выполнение произвольного кода в Microsoft Access Snapshot Viewer ActiveX компоненте |
Июль |
100 |
Июль |
34 |
|
Множественные уязвимости в Microsoft Visual Basic ActiveX компонентах |
Август |
117 |
Выполнение произвольного кода в WordPad и Office Text Converters |
Декабрь |
125 |
Декабрь |
7 |
|
2009 |
||
Февраль |
19 |
|
Февраль |
49 |
|
Выполнение произвольного кода в продуктах JustSystem Ichitaro |
Март |
0* |
Апрель |
49 |
|
Май |
67 ** |
|
Июль |
46 ** |
|
Июль |
3 |
|
Выполнение произвольного кода в Microsoft DirectShow MPEG2TuneRequest ActiveX |
Июль |
8 ** |
Выполнение произвольного кода в Microsoft Office Web Components Spreadsheet ActiveX компоненте |
Июль |
1 ** |
* - количество дней эксплуатации уязвимости до выхода исправления определить не удается
** - уязвимость не устранена в настоящее время
На момент написания статьи не устранено 4 уязвимости, из них 3 уязвимости в продуктах Microsoft и одна в PJBlog3.
Уязвимость существует из-за ошибки проверки границ данных в методе msDataSourceObject() в Office Web Components Spreadsheet ActiveX компоненте. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение стека и выполнить произвольный код на целевой системе. В настоящий момент в публичном доступе находится 3 варианта эксплоита к этой уязвимости.
Уязвимые приложения:
В качестве временного решения для устранения уязвимости мы рекомендуем деактивировать уязвимый ActiveX компонент. Для этого установите Compatibility Flags в DWORD значение 0x00000400 для ключей
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
Или скачайте и запустите .msi файл (http://go.microsoft.com/?linkid=9672747).
Уязвимость существует из-за ошибки проверки границ данных при обработке потокового видео в BDATuner.MPEG2TuneRequest.1 ActiveX компоненте (msVidCtl.dll) в Microsoft DirectShow. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение стека и выполнить произвольный код на целевой системе.
Уязвимости подвержены:
Для устранения уязвимости следует деактивировать уязвимый ActiveX компонент. Microsoft выпустила утилиту, деактивирующую CLSID, относящиеся к Microsoft Video ActiveX компоненту. Скачать .msi файл можно по ссылке:
http://go.microsoft.com/?linkid=9672398
В качестве проактивной защиты мы рекомендуем администраторам осуществить следующие действия:
Еще только середина июля, а мы уже наблюдаем 4 уязвимости нулевого дня - это максимальное количество уязвимостей нулевого дня, обнаруженных в течении одного месяца за последние 4 года. Очень хочется надеяться, что июль 2009 является исключением и подобного более не повториться. Сегодня Microsoft планирует выпустить исправление для уязвимости в Microsoft DirectShow MPEG2TuneRequest ActiveX компоненте. Следите за публикацией уязвимостей на SecurityLab.ru.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках