esetnod32 Oct 15 2014 at 14:21

Новые уязвимости Windows используются злоумышленниками

3 min

19K

ESET NOD32 corporate blogInformation Security*

+25

Comments 5

Gordon01 Oct 16 2014 at 09:43

Получается, уязвимости в win32k.sys присутствуют также и в XP и с помощью «левого» шрифта можно запускать произвольный код?
А антивирь защитит от этого или все, ХР теперь может ломать любой школьник с помощью веб-странички с левым шрифтом?

UFO just landed and posted this here

esetnod32 Oct 16 2014 at 13:31

Вектор атаки — документ Office, у которого внутри специальный файл .ttf с шелл-кодом. Пользователь открывает документ и уязвимость позволяет исполниться шелл-коду из ttf, причем сразу в режиме ядра. MS не публикует данные о присутствии в WinXP этой уязвимости, хотя скорее всего она есть и там. Для предотвращения эксплуатации без обновления, можно воспользоваться Workaround — ограничить доступ к библиотеке t2embed.dll, которая привлекается для операции разбора содержимого ttf.

m08pvv Oct 16 2014 at 09:54

Можно немного подробностей об эксплуатации данных уязвимостей: от каких спасает EMET, от каких спасает ограниченная учётная запись, ну и есть ли среди них те, от которых не помогает даже голова на плечах?

esetnod32 Oct 16 2014 at 12:21

Если речь про -4114, EMET не поможет. Это не memory-corruption и там не используется ни ROP ни -spray ни StackPivot для обхода DEP & ASLR. Остальные три относятся к win32k, EMET здесь ни при чем. От них может помочь SMEP и прочие mitigations Win8 & 8.1.