MSは昨日、DLLのプリロード/ハイジャックおよびStuxnetワームからの最後のセキュリティで保護されていない脆弱性を含む17の脆弱性をクローズしました。
MSは昨日、多数のパッチをリリースしました ;これらの脆弱性の多くは1か月以上前から知られています。 そして、それらのいくつかは既にマルウェアで使用されており、マルウェアに関する情報が実際に取得された場所から主に使用されています。
MS10-090 (IE)は、すべてのギャップをカバーする包括的なパッチパッケージです(CVE-2010-3340、CVE-2010-3342、CVE-2010-3343、CVE-2010-3345、CVE-2010-3346、CVE-2010- 3348、CVE-2010-3962)。 これらの魅力的な脆弱性のほとんどは、IE6 / IE7 / IE8でのリモートコード実行を可能にします。
MS10-091 (Opentypeフォントドライバー)-この更新プログラムは、リモートコードの実行につながる可能性のあるOpentypeフォントドライバー(OTF)の脆弱性(CVE-2010-3956、CVE-2010-3957、CVE-2010-3959)全体も閉じます。 。 攻撃者は、特別に準備されたOpenTypeフォントをネットワーク共有に作成し、Windowsエクスプローラーで表示すると、システム権限で実行される任意のコードが実行されます。
MS10-092 (タスクスケジューラ)は、Stuxnetワームに残った最後のセキュリティで保護されていない脆弱性で、Vista / Win7のシステムレベルにローカル権限を昇格するために使用されました。 興味深いのは、この脆弱性がx64システムでも機能し、 TDL4ルートキットの最新バージョンで広く使用されるようになったことです。 脆弱性の詳細な説明は、39ページのESETの調査「 顕微鏡下のStuxnet 」に記載されています。
DLLのプリロードの問題 ( MS10-093 、 MS10-094 、 MS10-095 、 MS10-096 、 MS10-097 )は再びパッチの複雑さですが、ロード中に動的ライブラリの置換を可能にする脆弱性を閉じるという1つの目標に関連しています。 これらのパッチの一部は、Windowsアドレス帳やWindowsムービーメーカーなどの標準アプリケーションでこのギャップを埋めます。 しかし、MS10-095では、深刻な違反が修正され、特別に生成されたWebDAVパスをナビゲートし、任意のパスに置き換えられたファイルを開くときに、リモートで任意のコードを実行できるようになりました。 Metasploit Ptojectの男たちが最初にこの方法を示し、8月にオープンアクセスで機能する悪用を提供しました。
MS10-098-そして再び脆弱性のセット全体が閉じられました(CVE-2010-3941、CVE-2010-3942、CVE-2010-3943、CVE-2010-3944)が、今回はカーネルです。 それらはすべて、ローカル特権をシステムレベルに昇格するように設計されており 、ノーマンの研究者Tarjei Mandtのおかげで閉鎖されています。 それらのいくつかは彼のブログで詳細に説明されています。
上記に加えて、次の脆弱性の多くも閉鎖されました。
MS10-099 (ルーティングとリモートアクセスNDProxyコンポーネント)-特権の昇格
MS10-100 (同意ユーザーインターフェイス)-特権の昇格
MS10-101 (Netlogon RPCサービス)-サービス拒否
MS10-102 (Hyper-V)-サービス拒否
MS10-103 (Microsoft Publisher)-リモートコード実行
MS10-104 (Microsoft SharePoint)-リモートコード実行
MS10-105 (Microsoft Officeグラフィックフィルター)-リモートコード実行
MS10-106 (Microsoft Exchange)-サービス拒否
脆弱性CVE-2010-4398がまだ関連しているという事実に注意を向けてくれたユーザーsystracerに感謝します。 SystemDefaultEUDCFontによるスタックオーバーフローに関連付けられており、x64を含む多数のプラットフォームでシステムレベルへの特権を増やすことができます。
MS10-090 (IE)は、すべてのギャップをカバーする包括的なパッチパッケージです(CVE-2010-3340、CVE-2010-3342、CVE-2010-3343、CVE-2010-3345、CVE-2010-3346、CVE-2010- 3348、CVE-2010-3962)。 これらの魅力的な脆弱性のほとんどは、IE6 / IE7 / IE8でのリモートコード実行を可能にします。
MS10-091 (Opentypeフォントドライバー)-この更新プログラムは、リモートコードの実行につながる可能性のあるOpentypeフォントドライバー(OTF)の脆弱性(CVE-2010-3956、CVE-2010-3957、CVE-2010-3959)全体も閉じます。 。 攻撃者は、特別に準備されたOpenTypeフォントをネットワーク共有に作成し、Windowsエクスプローラーで表示すると、システム権限で実行される任意のコードが実行されます。
MS10-092 (タスクスケジューラ)は、Stuxnetワームに残った最後のセキュリティで保護されていない脆弱性で、Vista / Win7のシステムレベルにローカル権限を昇格するために使用されました。 興味深いのは、この脆弱性がx64システムでも機能し、 TDL4ルートキットの最新バージョンで広く使用されるようになったことです。 脆弱性の詳細な説明は、39ページのESETの調査「 顕微鏡下のStuxnet 」に記載されています。
DLLのプリロードの問題 ( MS10-093 、 MS10-094 、 MS10-095 、 MS10-096 、 MS10-097 )は再びパッチの複雑さですが、ロード中に動的ライブラリの置換を可能にする脆弱性を閉じるという1つの目標に関連しています。 これらのパッチの一部は、Windowsアドレス帳やWindowsムービーメーカーなどの標準アプリケーションでこのギャップを埋めます。 しかし、MS10-095では、深刻な違反が修正され、特別に生成されたWebDAVパスをナビゲートし、任意のパスに置き換えられたファイルを開くときに、リモートで任意のコードを実行できるようになりました。 Metasploit Ptojectの男たちが最初にこの方法を示し、8月にオープンアクセスで機能する悪用を提供しました。
MS10-098-そして再び脆弱性のセット全体が閉じられました(CVE-2010-3941、CVE-2010-3942、CVE-2010-3943、CVE-2010-3944)が、今回はカーネルです。 それらはすべて、ローカル特権をシステムレベルに昇格するように設計されており 、ノーマンの研究者Tarjei Mandtのおかげで閉鎖されています。 それらのいくつかは彼のブログで詳細に説明されています。
上記に加えて、次の脆弱性の多くも閉鎖されました。
MS10-099 (ルーティングとリモートアクセスNDProxyコンポーネント)-特権の昇格
MS10-100 (同意ユーザーインターフェイス)-特権の昇格
MS10-101 (Netlogon RPCサービス)-サービス拒否
MS10-102 (Hyper-V)-サービス拒否
MS10-103 (Microsoft Publisher)-リモートコード実行
MS10-104 (Microsoft SharePoint)-リモートコード実行
MS10-105 (Microsoft Officeグラフィックフィルター)-リモートコード実行
MS10-106 (Microsoft Exchange)-サービス拒否
脆弱性CVE-2010-4398がまだ関連しているという事実に注意を向けてくれたユーザーsystracerに感謝します。 SystemDefaultEUDCFontによるスタックオーバーフローに関連付けられており、x64を含む多数のプラットフォームでシステムレベルへの特権を増やすことができます。
All Articles