Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Aktualizacje Microsoftu w lipcu 2013 – poważne błędy w IE, DirectShow oraz w funkcji przetwarzania czcionek TrueType

Kurt Baumgartner
Kaspersky Lab Expert
Dodany 16 lipca 2013, 12:24 CEST
Tagi:

Zgodnie z obietnicą zawartą we wcześniejszych powiadomieniach z lipca, Microsoft opublikował w tym miesiącu siedem biuletynów bezpieczeństwa (MS13-052 - MS13-058). Załatane zostały co najmniej 34 luki. Sześć biuletynów bezpieczeństwa zostało ocenionych jako „krytyczne” ze względu na możliwość zdalnego wykonania kodu. Załatane w tym miesiącu luki pozwalają na zdalne wykonanie kodu we wszystkich wersjach systemów operacyjnych z rodziny Windows, jednak większość z tych poważnych luk zostało zgłoszonych prywatnie i nic nie wskazuje na to, że są już publicznie znane lub wykorzystywane. Niektóre jednak są publicznie znane i przyciągają uwagę wielu twórców exploitów.   

Luka zapewniająca prawa dostępu do jądra systemu, CVE-2013-3172, jest publicznie znana, wraz z inną podobną luką, publicznie ujawnioną w maju przez Tavisa Ormandy’ego. Niestety, exploit wykorzystujący tę lukę został rozwinięty przez inną osobę, a następnie zintegrowany z metasploitem przeznaczonym do publicznej dystrybucji i wykorzystania.       

Interesujące jest również to, że aktualizacja dla luki CVE-2013-3129 w podsystemie odpowiedzialnym za przetwarzanie czcionek TrueType wpływa na ścieżki kodu w siedmiu różnych pakietach oprogramowania (Office, Lync, Visual Studio, .NET, Silverlight oraz "komponentach Windowsa") uaktualnionego osobno za pomocą Biuletynów bezpieczeństwa MS13-052, MS13-053 oraz MS13-054.

W centrum zainteresowania znalazł się Internet Explorer – w jednym biuletynie, MS13-055, załatanych zostało 16 luk umożliwiających zdalne wykonanie kodu oraz jedna luka pozwalająca na „ujawnienie informacji”. Wszystkie wersje przeglądarki IE we wszystkich systemach operacyjnych są dotknięte tą czy inną z wymienionych luk umożliwiających zdalne wykonanie kodu.       

W tym miesiącu usunięto również poważne problemy w różnych komponentach graficznych.

W DirectShow została naprawiona poważna luka umożliwiająca uszkodzenie pamięci - CVE-2013-3174. Luka pozwala na zdalne wykonanie kodu we wszystkich obsługiwanych systemach operacyjnych z rodziny Windows. Podczas strumieniowego przesyłania multimediów DirectShow niepoprawnie obsługuje pliki .gif - stary format plików stworzony dawno temu w czasach grafiki 8-bitowej, Windows 3.1 oraz x486. Główny problem polega na tym, że luka umożliwiająca zdalne wykonanie kodu istnieje we wszystkich wersjach systemu Windows.          

Luka związana z dekodowaniem WMV znajduje się w kilku bibliotekach dll (wmvdecod.dll, wmvdmod.dll oraz wmv9vcm.dll) i pozwala na zdalne wykonanie kodu. Biblioteki dll są obsługiwane przez Windows Media Player i Windows Media Format Runtime w różnych wersjach systemu Windows z wyjątkiem wersji serwerowych. Jednak niektórzy administratorzy mogli włączyć opcjonalną funkcję „Desktop Experience" i zainstalować te biblioteki dll. Nie wszystkie te biblioteki są domyślnie zainstalowane w każdym systemie operacyjnym, więc nie wszystkie systemy wymagają aktualizacji MS13-056 DirectShow.       

Przetwarzanie czcionki TrueType - funkcja, która została wykorzystana do przeprowadzania ataków ukierunkowanych, w tym kampanii Duqu, a obecnie również element zestawu exploitów Blackhole - umożliwia wykorzystanie innej luki w komponencie obsługującym grafikę w trybie jądra GDI+. Luka ta istnieje również we wszystkich wersjach Windowsa.  

Kod metasploita wykorzystujący lukę CVE-2013-3172 i załatany za pomocą biuletynu MS13-053 ogranicza się obecnie do eskalacji przywilejów, jednak przy całym zainteresowaniu, jakie wzbudza, wkrótce może stać się pełną luką umożliwiającą zdalne wykorzystanie kodu. Biorąc pod uwagę to, że błąd ten był publicznie znany w maju, dobrze wiedzieć, że Microsoft w końcu wypuścił dla niego pełną łatę, ponieważ ta luka w win32k.sys umożliwia zdalne wykonanie kodu we wszystkich wersjach systemów operacyjnych z rodziny Windows, łącznie z serwerem Windows 2012.         

.NET i Silverlight są łatane za pomocą jednego biuletynu, a kilka błędów jest publicznie znanych.