Отчет по уязвимостям с 13 по 20 февраля

АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов

Еженедельный отчет содержит описания девяти уязвимостей и одного эксплоита, в наиболее распространенных приложениях и операционных системах.

Веб-браузер Mozilla Firefox

Обнаружена уязвимость в Mozilla Firefox. Удаленный пользователь может вызвать выполнение произвольного кода в целевой системе пользователя.

Уязвимость существует из-за ошибки использования памяти после освобождения в nsXBLDocumentInfo::ReadPrototypeBindings. Для реализации уязвимости удаленному пользователю необходимо составить специальную HTML-страницу которая будучи загружена на целевую машину способна вызвать повреждение памяти и выполнение произвольного кода на целевой системе.

• Ссылка на сайт разработчика: www.mozilla.org/security/announce/2012/mfsa2012-10.html
• Версии: 10.0, предыдущие версии не подвержены данной уязвимости
• Опасность: критическая, возможна удаленная эксплуатация уязвимости
• Операционные системы: Linux (Any), UNIX (Any), Windows (Any)
• ID в базе CVE: CVE-2012-0452
• Решение: Установить последнюю версию Mozilla Firefox

Множественные уязвимости в продуктах Майкрософт

В прошедший вторник корпорация Майкрософт выпустила очередной набор обновлений для уязвимостей, имеющихся в продуктах данного разработчика. Рассмотрим наиболее опасных из обнаруженных уязвимостей.

Internet Explorer

Уязвимости в браузере Microsoft Internet Explorer позволяют удаленному пользователю выполнять произвольный код и получать потенциально важные сведения о работе системы. Для реализации угрозы злоумышленнику необходимо сформировать специальный HTML код, который вызывает ошибку при отображении объектов и выполнение произвольного кода. Данный код будет выполняться с привилегиями текущего пользователя. Уязвимость может быть также использована вместе с ActiveX объектами, помеченными как "safe for initialization" в приложениях Microsoft Office отображаемых IE. Для эксплуатации уязвимости обязательно требуется перезагрузка.

Ссылка на сайт разработчика: http://technet.microsoft.com/en-us/security/bulletin/ms12-010

Версии: 6, 7, 8, 9

Опасность: критическая, возможна удаленная эксплуатация уязвимости и доступ к важной информации

Операционные системы: Windows (Any)

ID в базе CVE: CVE-2012-0010, CVE-2012-0011, CVE-2012-0012, CVE-2012-0155

Решение: Установить соответствующее обновление с сайта производителя

Microsoft SharePoint

Несколько сценариев, входящих в состав SharePoint не осуществляют фильтрацию HTML-кода при вводе данных пользователем. В результате чего, удаленный пользователь может вызвать выполнение произвольного кода в браузере пользователя. Этот код будет выполняться в контексте безопасности сайта SharePoint и будет получен доступ к cookies (включая cookies связанные с аутентификацией) атакуемого пользователя. Уязвимости подвержены следующие файлы сценариев:

• inplview.aspx;
• themeweb.aspx;
• wizardlist.aspx;

• Ссылка на сайт разработчика: http://www.microsoft.com/downloads/details.aspx?familyid=44a8eb5a-e469-4d36-b5a0-7e030c1d3244
• Версии: 2010, 2010 SP1
• Опасность: критическая, возможна удаленная эксплуатация уязвимости и доступ к важной информации
• Операционные системы: Windows (Any)
• ID в базе CVE: CVE-2012-0017, CVE-2012-0144, CVE-2012-0145
• Решение: Установить соответствующее обновление с сайта производителя

Microsoft Visio Viewer

Множественные уязвимости на минувшей неделе были обнаружены в Microsoft Visio Viewer. Удаленный пользователь может создать файл Visio, который при открытии на машине целевого пользователя вызывает повреждение памяти и как следствие выполнение произвольного кода на целевой системе с правами текущего пользователя.

• Ссылки на сайт разработчика:
  • 32-битная версия – http://www.microsoft.com/downloads/details.aspx?familyid=173dc4e6-31b4-42ec-808c-f8cd005517ab
  • 64-битная версия – http://www.microsoft.com/downloads/details.aspx?familyid=34b234e1-1322-4edc-829c-7bc2fbd99338
• Версии: 2010, 2010 SP1
• Опасность: критическая, возможна удаленная эксплуатация уязвимости
• Операционные системы: Windows (Any)
• ID в базе CVE: CVE-2012-0019, CVE-2012-0020, CVE-2012-0136, CVE-2012-0137, CVE-2012-0138
• Решение: Установить соответствующее обновление с сайта производителя

Microsoft .NET

Две уязвимости были обнаружены в Microsoft .NET.

1. Удаленный пользователь может разработать приложение, использующее .NET Framework, которое при выполнении приводит к ошибке доступа к памяти и выполнению произвольного кода на целевой системе с правами текущего пользователя.
2. Удаленный пользователь может разработать XAML browser (XBAP) или .NET приложение, которое при выполнении приводит к переполнению “кучи” и выполнению произвольного кода на целевой системе с правами текущего пользователя.

• Ссылки на сайт разработчика: http://technet.microsoft.com/en-us/security/bulletin/ms12-016
• Версии: 2.0 SP2, 3.5.1, 4
• Опасность: критическая, возможна удаленная эксплуатация уязвимости
• Операционные системы: Windows (2003), Windows (2008), Windows (7), Windows (Vista), Windows (XP)
• ID в базе CVE: CVE-2012-0014, CVE-2012-0015
• Решение: Установить соответствующее обновление с сайта производителя

Проигрыватель Adobe Flash Player

Множественные уязвимости обнаружены в Adobe Flash Player. Удаленный пользователь может создать специальный Flash-контент, который при выполнении производит повреждение памяти в Windows ActiveX и выполнение произвольного кода на целевой системе с правами текущего пользователя. Также возможно создание Flash-контента, позволяющего обойти ограничения безопасности и выполнить произвольный код. Кроме этого, с помощью специальный сценариев можно осуществить хищение cookies сайтов, которые посещал текущий пользователь.

• Ссылки на сайт разработчика: http://www.adobe.com/support/security/bulletins/apsb12-03.html
• Версии: 11.1.102.55 and prior versions; 11.1.112.61 and prior for Android 4.x; 11.1.111.5 and prior for Android 2.x and 3.x
• Опасность: критическая, возможна удаленная эксплуатация уязвимости
• Операционные системы: Windows (2003), Windows (2008), Windows (7), Windows (Vista), Windows (XP)
• ID в базе CVE: CVE-2012-0751, CVE-2012-0752, CVE-2012-0753, CVE-2012-0754, CVE-2012-0755, CVE-2012-0756, CVE-2012-0767
• Решение: Установить соответствующее обновление с сайта производителя

Оборудование Hewlett-Packard

В некоторых моделях принтеров возможно удаленное обновление программного обеспечения при использовании заводских настроек. Программное обеспечение может быть передано удаленно по порту 9100 без аутентификации. Изменение прошивки устройств может привести к нарушению целостности и конфиденциальности, а также к отказу в обслуживании.

В качестве решения предлагается принудительно запретить удаленное обновление и обновить программное обеспечение.

• Ссылки на сайт разработчика с перечнем уязвимого оборудования: http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03154309&jumpid=em_alerts_us-us_Jan12_xbu_all_all_1590794_104946_printersandmultifunctionscanners-copiers-faxes_routine_002_1
• Опасность: критическая, возможна удаленная эксплуатация уязвимости
• ID в базе CVE: CVE-2011-4161

Виртуальный коммутатор Cisco Nexus

Удаленный пользователь может отправить специально собранный IP-пакет, который приведет к отказу в обслуживании.

• Ссылки на сайт разработчика: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120215-nxos
• Версии: Nexus 1000v, 5000, and 7000 Series Switches
• Опасность: высокая, возможна удаленная перезагрузка коммутатора
• Операционные системы: Windows (2003), Windows (2008), Windows (7), Windows (Vista), Windows (XP)
• ID в базе CVE: CVE-2012-0352
• Решение: Установить соответствующее обновление с сайта производителя

Платформа Oracle Java SE

Множественные уязвимости обнаружены в Oracle Java SE. Удаленный пользователь может подготовить специальное приложение, выполнение которого приведет к выполнению произвольного кода в целевой системе. Также возможно выполнение отказа в обслуживании всей системы, модификация пользовательских данных.

• Ссылки на сайт разработчика: http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
• Версии: 1.4.2_35 и более ранние, 5.0 Update 33 и более ранние; 6 Update 30 и более ранние; 7 Update 2 и более ранние
• Опасность: критическая, возможна удаленная эксплуатация уязвимости, отказ в обслуживании, раскрытие и модификация пользовательской информации
• Операционные системы: Linux (Any), UNIX (Solaris - SunOS), Windows (Any)
• ID в базе CVE: CVE-2011-3563, CVE-2012-0497, CVE-2012-0498, CVE-2012-0499, CVE-2012-0500, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0504, CVE-2012-0505, CVE-2012-0506, CVE-2012-0508
• Решение: Установить соответствующее обновление с сайта производителя

Эксплоит для Adobe Flash Player MP4

В проигрывателе Adobe Flash Player MP4 в августе прошлого года были обнаружены множественные уязвимости. На этой неделе в сети появился эксплоит, разработанный в среде Metasploit Framework, позволяющий эксплуатировать одну из них.

• Код эксплоита: http://www.securitylab.ru/poc/420029.php

Информация по исходной уязвимости

Уязвимость существует из-за ошибки обработки границ данных при обработке значения num_ref_frames_in_pic_order_cnt_cycle в компоненте sequenceParameterSetNALUnit. Удаленный пользователь может вызвать переполнение буфера в стеке.

• Ссылки на сайт разработчика: http://www.adobe.com/support/security/bulletins/apsb11-21.html
• Версии:
  • Adobe Flash Player 10.3.181.36 and earlier for Windows, Macintosh, Linux and Solaris
  • Adobe Flash Player 10.3.185.25 and earlier for Android
  • Adobe AIR 2.7 and earlier for Windows, Macintosh, and Android
• Опасность: критическая, возможна удаленная эксплуатация уязвимости
• Операционные системы: Windows, Macintosh, and Android
• ID в базе CVE: CVE-2011-2140
• Решение: Установить соответствующее обновление с сайта производителя

Использованные источники:

1.  Securitytracker.com
2. Securitylab.ru