Windows XP увязла в «дырах»
В Windows XP обнаружена вторая серьезная уязвимость за последние несколько месяцев. Посетив зараженный веб-сайт пользователь открывает злоумышленнику доступ к своему компьютеру. Предыдущая аналогичная «дыра» была найдена в мае.Корпорация Microsoft накануне вечером сообщила о серьезной уязвимости в компоненте Microsoft Video ActiveX Control (msvidctl.dll), позволяющей злоумышленнику получить доступ к компьютеру жертвы с правами текущего пользователя. Атака выполняется через браузер Internet Explorer, использующий этот компонент. Когда пользователь открывает зараженный веб-сайт, на вход одному из объектов ActiveX передается файл параметров, приводящий к переполнению стека и выполнению произвольного кода.
По сообщению Symantec, уязвимыми оказались наиболее популярные версии Internet Explorer – 6 и 7, работающие в среде Windows XP и Windows Server 2003. Пока идет работа над соответствующим патчем, пользователи могут отключить ActiveX Control, загрузив и запустив специальный файл с веб-сайта Microsoft. Ссылка на файл находится здесь (изображение под надписью Enable workaround). Позже пользователи вновь смогут включить ActiveX, воспользовавшись этой же веб-страницей (Disable workaround).
По данным Microsoft и компании Symantec, которая обнаружила уязвимость, она не затрагивает Windows Vista, Windows Server 2008 и Internet Explorer 8. В последнем передача параметров на объект ActiveX заблокирована. Тем не менее, компания все же рекомендует пользователей этих версий программного обеспечения также отключить ActiveX Control, пока не будет выпущена заплатка.
Очередная уязвимость в Windows XP позволяет выполнить произвольный код
В Symantec заявляют, что к настоящему моменту в интернете насчитывается уже несколько тысяч зараженных веб-сайтов. Из них большая часть находится в Китае и некоторых других странах Азии.
ActiveX-объект Microsoft Video Control подключает фильтры Microsoft DirectShow для захвата, записи и воспроизведения видео. Этот компонент используется в Windows Media Center для записи и воспроизведения телевизионных программ.
В «Лаборатории Касперского» CNews рассказали, что детектируют javascript, который использует уязвимость компонента MSVidCtl (Microsoft Video Streaming ActiveX), с 6 июля. «Использование эксплойта в текущей реализации требует наличия javascript-файла, содержащего опасный шелл-код, который может загрузить произвольную троянскую программу из интернета, - комментирует Виталий Камлюк, ведущий антивирусный эксперт «ЛК». - Эксплойт также требует наличия специально сформированного файла, распространяющегося с расширениями .gif или .jpg, который, будучи загруженным в компонент MSVidCtl, вызывает срабатывание уязвимости».
Официальный патч от Microsoft пока не доступен, поэтому уязвимость оценивается как критическая. В антивирусные базы уже добавлено эвристическое детектирование .gif/.jpg файлов, вызывающих срабатывание уязвимости. Тем пользователям, которые не используют защиту от вредоносного ПО, в «ЛК» рекомендуют отключить опасный ActiveX-компонент путем редактирования записи в системном реестре. Для этого в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF} необходимо создать/изменить значение "Compatibility Flags", установив его в 00000400 (значение в формате DWORD).
Напомним, что это вторая серьезная уязвимость, связанная с Microsoft DirectShow за последние месяцы. Предыдущая была обнаружена в мае и также открывала доступ к компьютеру с правами пользователя. Для этого будущей жертве достаточно было открыть видеофайл в формате QuickTime. Уязвимость касается Windows 2000 Service Pack 4, Windows XP и Windows Server 2003 и опять же обходит стороной Windows Vista. Патч к ней пока не выпущен.