Во вторник в рамках ежемесячной программы по выпуску патчей Microsoft выпустила 4 заплатки, закрывающие серьёзные уязвимости в системах Windows.

Критическое обновление безопасности, обозначенное как MS11-083, исправляет проблему со стеком TCP/IP, которая позволяет атакующим исполнять произвольный код на системах Windows. Данной проблеме подвержены системы Windows, начиная с Windows Vista (все версии) и заканчивая Windows Server 2008 R2 (все версии). Windows XP SP3 и Windows Server 2003 SP2 указанной уязвимости не содержат.

"Поскольку эта уязвимость не требует взаимодействия с пользователем или аутентификации, все компьютеры с системами Windows, будь то серверы или рабочие станции, подключённые к сети, могут быть атакованы. Сдерживающим фактором в данном случае является сложность осуществления этой атаки, - поясняет сотрудник компании Qualsys, Амол Сарвэйт. - Но, тем не менее, все предпосылки для создания серьёзного червя [использующего данную уязвимость] присутствуют".

Атака включает посылку большого количества специально созданных UDP-пакетов на незащищённый порт. Когда атакуемая система наводняется большим количеством пакетов, значение контрольного счётчика в стеке продолжает увеличиваться и в некоторый момент наступает его переполнение. В результате атакующий оказывается в состоянии исполнить произвольный код в режиме ядра, а система может аварийно завершить работу.

Джошуа Тэлбот, сотрудник компании Symantec, руководящий исследованиями в области информационной безопасности, оценил практичность атаки так: "Мы полагаем, что атака, в процессе которой злоумышленники попытаются использовать данную уязвимость, потребует больших временных затрат; вероятно, потребуется от четырёх до пяти часов на одну атаку. Однако, если атакующему всё-таки удастся её провести, результатом будет либо аварийное завершение работы системы, либо взятие системы под контроль в случае, если атакующий разработает для этого надёжное средство".

Одним из ноябрьских патчей, имеющих рейтинг "важный", является патч, закрывающий уязвимость, связанную с небезопасной загрузкой DLL в Windows Mail (MS11-085). Этот тип атак стал широко известен ещё в августе 2010 года.

"Уязвимость может позволить удалённо исполнить код [на атакуемой системе] в случае, если пользователь откроет обычный файл (такой как .eml или .wcinv), расположенный в той же сетевой директории, что и специально созданный файл DLL. Затем при открытии файла Windows Mail или Windows Meeting Space могут попытаться загрузить эту DLL и исполнить хранящийся в ней код", - поясняет Microsoft.

Другой важный патч закрывает уязвимость в Active Directory, Active Directory Application Mode и Active Directory Lightweight Directory Service (MS11-086). Данная уязвимость может позволить расширить права доступа, "если служба Active Directory настроена на использование LDAP через SSL, а атакующий обладает аннулированным сертификатом, ассоциированным с действительной доменной учётной записью, и использует этот сертификат для аутентификации в домене Active Directory".

Несмотря на то, что уязвимости MS11-085 и MS11-086 обозначены как "важные", а не "критические", по мнению Microsoft, программы, позволяющие их использовать, уже либо существуют, либо скоро будут написаны.

Последняя закрытая уязвимость MS11-084 имеет "умеренный" рейтинг опасности. Данная уязвимость может привести к отказу в обслуживании, если пользователь откроет специально созданный файл шрифта TrueType, прикреплённый к электронному письму, или перейдёт в сетевую папку или папку WebDAV, содержащую такой файл.

Как и ожидалось, патча от уязвимости, используемой установщиком трояна Duqu, среди ноябрьского набора патчей не оказалось. По мнению Тэлбота, этот патч может быть выпущен Microsoft тогда, когда он будет готов, вне ежемесячного цикла выпуска патчей.