Уязвимость в справочной службе и Центре Поддержки ОС Windows Me

Обнаружена уязвимость в функциях Центра Поддержки и справочной системы Windows Me, отчет о которой опубликован в бюллетене MS03-006 компании Microsoft 26 февраля 2003 г. Учитывая ее чрезвычайную опасность для пораженных машин, уязвимости присвоен статус "критической".

Уязвимость в функциях справочной службы и Центра поддержки Windows Me может привести к запуску кода

Уязвимости подвержены компьютеры под управлением операционной системы Windows Me. Так как на компьютерах с установленными Internet Explorer 6.0 Service Pack 1 запуск функций справочной службы и центра поддержки невозможен в автоматическом режиме через Outlook Express или Outlook , их пользователи не подвержены данной уязвимости.

Утилиты справочной службы или Центра Поддержки ОС Windows ME обеспечивают централизованную возможность получения пользователями помощи по различным вопросам. Например, информации о возможностях данной операционной системы, документации о продукте, доступа к Windows Update, загрузки обновлений, помощи в режиме он-лайн от компании Microsoft и многого другого. Доступ пользователей к справочной службе и Центру поддержки обеспечивается через ссылку с префиксом "hcp://" вместо обычного "http://", однако эта функция не проверяет должным образом параметры входящих данных а, следовательно, и буфер. Уязвимость заключается в наличии в обработчике URL для префикса "hcp://" непроверяемого буфера.

Для осуществления успешной атаки нападающему необходимо создать ссылку, которая, в случае нажатия на нее пользователем, сможет запустить на компьютере вредоносный код в контексте привилегий пользователя. Такая ссылка может быть размещена на веб-сайте или непосредственно отослана пользователю по электронной почте. В случае реализации первого сценария и захода пользователя на сайт злоумышленника последний получает возможность осуществлять любое действие на пораженном компьютере - читать или запускать файлы локальной системы, добавлять в них данные или уничтожать их, а также запускать любой код. В втором случае проведение атаки в автоматическом режиме невозможно на компьютерах с установленными Outlook Express 6.0 или Outlook 2002 (с настройками по умолчанию), а также Outlook 98 или 2000 в сочетании с Outlook Email Security Update, т.к. в таком случае нападающему все же надо будет каким-либо образом убедить пользователя нажать на ссылку содержащуюся в таком письме.

ЗАО "ДиалогНаука" настоятельно советует всем пользователям данной операционной системы загрузить и установить на своих компьютерах патч, опубликованный компанией Microsoft.