Díra v GDI+ umožňuje vzdálené spuštění kódu

Zdá se, že to „nejlepší“ si dáme hned na začátek, na scéně je opět staré dobré rozhraní grafického zařízení alias GDI+, v němž je v rámci Microsoft Security Bulletinu MS08-052 látáno hned pět děr. Ty mohou být zneužity skrze známé obrázkové formáty VML, EMF, GIF, WMF a BMP, stačí, aby do nich útočník patřičně vpravil svůj zákeřný kód a knihovna Microsoft Windows GDI+ (gdiplus.dll) jej zpracovala a spustila s právy aktuálně přihlášeného uživatele. Na celé věci je asi nejveselejší fakt, že tuto knihovnu využívá kopice aplikací, takže se nyní mrkneme i na kopici odkazů ke stažení:

• KB938464:
  • Internet Explorer 6 SP1 na Windows 2000 SP4: česky a anglicky (nahrazuje MS07-050)
  • Windows XP SP2 i SP3: česky a anglicky
  • Windows Server 2003 SP1 i SP2: česky a anglicky
  • Windows XP x64 a Windows Server 2003 x64 bez i se SP2: anglicky
  • Windows Server 2003 IA-64 SP1 i SP2: anglicky
  • Windows Vista bez i se SP1 a Windows Server 2008: 32bit. a 64bit. (x64)
  • Windows Server 2008: 64bit. (IA-64)
• Microsoft .NET Framework:
  • .NET Framework 1.0 SP3 (KB947739): česky a anglicky
  • .NET Framework 1.1 SP1 (KB947742): jazykově neutrální
  • .NET Framework 2.0 (KB947746): jazykově neutrální
  • .NET Framework 2.0 SP1 (KB947748): jazykově neutrální
• Microsoft Office:
  • Office XP SP3 (KB953405): česky, slovensky a anglicky (nahrazuje MS04-028)
  • Office 2003 SP2 i SP3 (KB954478): česky, slovensky a anglicky
  • Office 2007 bez i se SP1 (KB954326): jazykově neutrální

Pro aktualizace dalších postižených produktů (Visual Studio .NET 2002 SP1, Visual Studio .NET 2003 SP1, Visual Studio 2005 SP1, Visual Studio 2008, Report Viewer 2005 SP1, Report Viewer 2008, Visual Foxpro 2008 SP1, Visual Foxpro 2009 SP1/SP2, Microsoft Platform SDK Redistributable: GDI+ a Microsoft Forefront Client Security 1.0) a podrobnosti o odkazech ke stažení navštivte Microsoft Security Bulletin MS08-052.

Díra ve Windows Media Encoderu 9 umožňuje vzdálené spuštění kódu

Windows Media Encoder 9 obsahuje ActiveX prvek „wmex.dll“, který je možné využít skrze Internet Explorer, ačkoli se s tím nikdy moc nepočítalo. Jenže v tomto prvku je díra, kterou může útočník vytvořením patřičně upravené stránky využít ke spuštění kódu na PC uživatele takovou stránku si prohlížejícího, následkem čehož dojde ke spuštění vnořeného kódu s právy přihlášeného uživatele. Obejít to můžete nastavením patřičného kill bitu na tento ActiveX prvek spuštěním níže uvedených souborů registru podle varianty vašeho operačního systému, nebo to můžete vyřešit instalací záplat. Další detaily můžete studovat v Microsoft Security Bulletinu MS08-053.

Odkazy ke stažení (KB954156):

• Windows 2000 SP4, Windows XP SP2 i SP3 a Windows Server 2003 SP1 i SP2: česky a anglicky
• Windows XP x64 a Windows Server 2003 x64 bez i se SP2: anglicky - 32bit. a 64bit.
• Windows Vista bez i se SP1 a Windows Server 2008: 32bit. (určen i pro 64bit.) a čistě 64bit. (x64)

Díra ve Windows Media Playeru 11 umožňuje vzdálené spuštění kódu

Je tu záplata, která měla pravděpodobně podle původních plánů vyjít už minulý měsíc, ale nějak se to asi nestihlo. Díra se týká pouze Windows Media Playeru 11 (starší verze postiženy nejsou) a může skrze ni dojít ke spuštění kódu útočníka takovým velice zajímavým způsobem. K napadení potřebuje útočník tzv. „Server-Side PlayList“, což je jaký si seznam obsahu v podobě XML dokumentu, který má klientská aplikace přehrát, jak ho má přehrát, kdy ho má přehrát a tak dále. Pokud Windows Media Player otevře patřičně upravený audio stream prostřednictvím tohoto Server-Side PlayListu, může dojít ke spuštění kódu útočníka obsaženého v přehrávaném audio streamu. Ovšem pointa vtipu spočívá v tom, která část Windows Media Playeru vlastně toto spuštění kódu útočníka způsobí. Pointa vychází ze skutečnosti, že Microsoft vedle instalace záplaty doporučuje jako jednu z nouzových možností znefunkčnění knihovny wmpeffects.dll příkazem

Regsvr32.exe ?u %WINDIR%\system32<nebo>syswow64\wmpeffects.dll

která se stará o zobrazování vizuálních efektů během přehrávání zvuku. No comment… – níže jsou odkazy ke stažení záplat (KB954154), více informací pak hledejte v Microsoft Security Bulletinu MS08-054).

• Windows XP: 32bit. česky, 32bit. anglicky a 64bit. (x64) anglicky
• Windows Vista a Windows Server 2008: 32bit. a 64bit. (x64)

Díra v Microsoft Office umožňuje vzdálené spuštění kódu

I poslední záplata tohoto měsíce je kritická a týká se některých podporovaných sad Office, kde klíčovým problémem je zpracování URL se schématem onenote (zjednodušeně řečeno odkazů začínajících na onenote://). V případě Office XP a Office 2003 je touto záplatou nahrazena letošní březnová (MS08-016) a u Office 2007 je nahrazena loňská květnová (MS07-025). Další informace můžete hledat v Microsoft Security Bulletinu MS08-055.

Odkazy ke stažení:

• Office XP SP3 (KB953405): česky, slovensky a anglicky
• Office 2003 SP2 i SP3 (KB953404): česky, slovensky a anglicky
• Office 2007 bez i se SP1 (KB951944): jazykově neutrální
• Office OneNote 2007 bez i se SP1 (KB950130): jazykově neutrální

Nástroj na odstranění škodlivého softwaru

Zářijový „jednorázový odvšivovač“ přidává na svůj seznam breberku Win32/Slenfbot, která se šíří skrze MSN Messenger a umí se rozkopírovávat na jednotky výměnných médií (k tomu si vytváří i patřičný autorun.inf) a síťové jednotky. Její autor buďto má, nebo nemá rád firmu nVidia, neboť breberka se vydává za soubor „nvsvc64.exe“, umisťuje se do adresáře system32 ve Windows a do registru automatického spouštění si přidá popis „nVidia Display Driver“. Aktualizacím antivirových a podobných aplikací zabraňuje tím nejsnazším způsobem, řadu serverů totiž prostřednictvím souboru hosts nastaví na adresu 127.0.0.1 (čili lokální), kde samozřejmě antivir žádnou aktualizaci nenajde. Pro jistotu se pokouší známé antiviry také vyřadit z činnosti. Základní záškodnická činnost, kterou provádí, je spojení na jistý kanál IRC serveru, odkud jej může autor vzdáleně ovládat. Příslušnými příkazy je schopen tuto havěť odstranit, přepojit na jiný kanál, nastrčit do PC nějaký soubor a spustit jej, šířit sebe a jiné soubory skrze MSN Messenger. Zkrátka tradiční e-sajrajt.

• Nástroj na odstranění škodlivého softwaru ? září 2008 (verze 2.2): 32bit. a 64bit. (x64)