




Microsoft предупреждает о новой уязвимости в Windows
Microsoft предупреждает пользователей Windows о новой уязвимости, с помощью которой злоумышленники могут украсть информацию с ПК и установить вредоносные программы. Уязвимость стала публичной на прошлой неделе, когда китайский веб-сайт WooYun.org опубликовал PoC-код.
В
"По сути, это XSS-уязвимость" - говорит Эндрю Стормс (Andrew Storms), директор по безопасности в nCircle Security. Баги в XSS могут быть использованы для вставки вредоносного сценария в веб-страницу и взять сессию под свой контроль. "Злоумышленник может стать пользователем и действовать на конкретном сайте от его имени" - объяснил Стормс. "Если вы зайдете, скажем, на Gmail.com или Hotmail.com, злоумышленник сможет отправлять сообщения по электронной почте вместо вас".
"Такой скрипт может собирать информацию о пользователях, например, электронную почту, подменять контент, отображаемый в браузере, или иным образом вмешиваться в работу пользователей" - написала Анжела Ганн (Angela Gunn), пресс-секретарь Microsoft в блоге
MHTML является протоколом веб-страниц, который объединяет ресурсы различных форматов - изображения, Java-апплеты, Flash анимацию и т.п. - в единый файл. Только Microsoft, IE и Opera поддерживают MHTML: Chrome от Google и Safari от Apple его не поддерживают, Firefox от Mozilla поддерживает, но требует установки дополнения для чтения и записи файлов MHTML.
Вольфганг Кандек (Wolfgang Kandek), технический директор Qualys, отметил, что наибольшей опасности подвержены пользователи IE. "Хотя уязвимость кроется в компоненте Windows, Internet Explorer является единственным известным вектором атаки злоумышленников" - говорит Кандек. "Firefox и Chrome не подвержены уязвимости в конфигурациях по умолчанию, так как они не поддерживают MHTML без установки дополнительных модулей."
Все поддерживаемые версии Windows, включая Windows XP, Vista и Windows 7, имеют баг в обработчике протокола, поэтому Стормс считает, что Microsoft потребуется время, чтобы выпустить патч. "Если бы дело было только в IE, мы могли бы увидеть патч уже 8 февраля" - сказал он. "Но проблема скрыта в Windows, поэтому устранить ее не так уж просто".
В качестве временного решения Microsoft рекомендует пользователям заблокировать обработчик протокола MHTML, запустив специальное
Microsoft уже приходилось иметь дело с уязвимостями обработчика протокола, в частности, в 2007 году, когда
Наличие этой уязвимости в Windows добавляет ее к длинному списку неисправленных уязвимостей, которые Microsoft признала, но патча не выпустила. На текущий момент есть пять серьезных уязвимостей, которые требуют особого внимания. 22 декабря Microsoft признала наличие уязвимости, выявленной все тем же сайтом WooYun.org, через несколько недель после того, как французская фирма VUPEN опубликовала предварительное уведомление с описанием уязвимости.
Microsoft признала, что злоумышленники уже использовали уязвимость IE еще в декабре, а в начале этого месяца был опубликован
Источник:
Перевод: houseboy
По теме
- Microsoft выпустила новые накопительные обновления безопасности Windows 10
- Microsoft вместе с McAfee возглавила рабочую группу по борьбе с "шифровальщиками"
- Microsoft работает над интеграцией в компьютеры супер-чипа безопасности "Pluton"
- AV-TEST назвала Microsoft Defender одним из лучших антивирусов для Windows 10
- Вышли новые обновления безопасности продуктов Microsoft
- Защитника Windows 10 стало еще сложнее отключить
- Microsoft исправляет рекордные 129 уязвимости
- Пользователям доступны очередные обновления безопасности продуктов Microsoft
- Microsoft ожидает более серьезных атак через BlueKeep
- Microsoft исправила 9 критических уязвимостей в своих продуктах