Chester Wisniewski, a Sophos Canada vezető biztonsági tanácsadója, a Sophos NakedSecurity blogból
A Microsoft kiadott egy 2639658-as számú biztonsági ajánlást a nemrégiben felfedezett Windows kernel sérülékenységet (CVE-2011-3402) kihasználó Duqu kártevőre.
A Microsoft megállapította, hogy a hiba a beágyazott True Type Fontok (TTF) feldolgozásában van. A Microsoft szerint:
„A támadó ezután programokat telepíthet, adatokat nézhet meg, változtathat vagy törölhet vagy teljes jogosultsággal rendelkező új felhasználói azonosítókat hozhat létre."
Ez egy igencsak komoly hiba. A biztonsági szakértők által használt kifejezések szerint ez azt jelenti, hogy távoli kódfuttatás (RCE) és a jogosultsági szintek megemelése (EoP) válik lehetségessé.
A Microsoft szorgalmasan dolgozik egy javítás kiadásán, de nem valószínű, hogy láthatjuk az e havi Patch Kedd frissítései között. Elkötelezettek abban, hogy minőségi javítást szeretnének kiadni, amely vagy egy cikluson kívüli frissítés lesz vagy csak a decemberi Patch Kedd frissítései között fog szerepelni.
A Microsoft kiadott egy FixIt letölthető segédeszközt, amely letiltja a beágyazott TTF-ek támogatását, ezzel biztosítva védelmet a hiba ellen.
Ezzel viszont az a probléma, hogy megakadályozza a beágyazott TTF-ekre épülő bármilyen alkalmazás esetén a megfelelő renderelést. Ez egy általános gyakorlat a Microsoft Office dokumentumaiban, böngészőiben és dokument nézegetőiben.
Arra számítok, hogy a Microsoft nem fog túl sok időt elvesztegetni a javítás kihozatalával, és a sérülékenység kihasználásának kockázata a legtöbb szervezet számára kifejezetten alacsony.
Mivel a SophosLabs továbbra is vizsgálja ezt a fenyegetést, ha bármilyen friss hírünk lesz ezzel kapcsolatban, a NakedSecurity blogon jelentetjük majd meg.
További információ angol nyelven