20 ответов в теме

[nikitas]

И так:

 

• CVE-2015-0059 (web.nvd.nist.gov)
• 
  
• ms15-010 (technet.microsoft.com)
• 
  

Уязвимость CVE-2015-0059 очень опасна, поскольку позволяет злоумышленникам удаленно исполнить код в режиме ядра. Для это на ресурсе в сети может быть размещен специальным образом сформированный файл шрифтов. Эксплуатация такой уязвимости позволить выполнить шелл-код из файла шрифтов напрямую в режиме ядра (user mode restrictions bypass). Critical. Exploitation Less Likely.

 

 

An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights. To exploit the vulnerability, an attacker would need to convince a user to open a specially crafted document or visit an untrusted website that contains embedded TrueType Fonts. The update addresses the vulnerability by correcting how the kernel-mode driver handles TrueType fonts.

 

Поясняю: зашли на сайт посмотреть котиков (который с кастомыми файлами шрифтов) и все.

 

Решение проблемы:

• апдейт винды
• 
  
• запрет сайтам инсталлить свои шрифты
• 
  
• *блок шрифтов в винде
• 
  

 

*про блок, вот страница (листаем до TrueType Font Parsing Remote Code Execution Vulnerability - CVE-2015-0059)

 

Выноска оттуда

 

 

Запрещаем доступ к T2EMBED.DLL, через консоль от админа

 

Workaround

For 32-bit systems, enter the following commands at an administrative command prompt:

Takeown.exe /f "%windir%\system32\t2embed.dll"
Icacls.exe "%windir%\system32\t2embed.dll" /deny everyone:(F)

For 64-bit systems, enter the following commands at an administrative command prompt:

Takeown.exe /f "%windir%\system32\t2embed.dll"
Icacls.exe "%windir%\system32\t2embed.dll" /deny everyone:(F)
Takeown.exe /f "%windir%\syswow64\t2embed.dll"
Icacls.exe "%windir%\syswow64\t2embed.dll" /deny everyone:(F)

How to undo the workaround. (отмена изменений)

Спойлер

For 32-bit systems, enter the following command at an administrative command prompt:

Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d everyone

For 64-bit systems, enter the following commands at an administrative command prompt:

Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d everyone
Icacls.exe %WINDIR%\syswow64\t2embed.DLL /remove:d everyone

 

Траблы: "Applications that rely on embedded font technology will fail to display properly." - Софт, который использует встроенным шрифты поедет (будут системные) и/или будет квадратами.

 

 

upd: отщепятки

Сообщение отредактировал nikitas: 13 February 2015 - 13:13

[Sir Zak]

.UP,  ты знаешь что делать

Сообщение отредактировал Sir Zak: 13 February 2015 - 13:27

[nikitas]

.UP,  ты знаешь что делать

Он так может биткоины фармить

[climp]

Товарищ! Верь!

Пройдет пора винды и ламеского софта!

И на обламках майкрософта, 

Напишут наши имена!

[Нейтрал]

ха-ха ньюфаги попали, а ретрограды нет

[MegaDocent]

Эм... Так это уже пофиксили?

Автоапдейт если работает?

Сообщение отредактировал MegaDocent: 13 February 2015 - 13:56

[nikitas]

Эм... Так это уже пофиксили?

Автоапдейт если работает?

хз, раз в пакете, то должно было подцепить, проверь по название патча. Я у себя ручками пофиксил.

[DIMFIRE]

Итого между бекдором и его обнаружением прошло порядка 8 лет. Хотелось бы знать он придерживался спецом для анб или просто специалисты мелкомягких были слишком заняты рисованием свистоперделок вместо фиксов.

[AHreJIcMepTu]

Итого между бекдором и его обнаружением прошло порядка 8 лет. Хотелось бы знать он придерживался спецом для анб или просто специалисты мелкомягких были слишком заняты рисованием свистоперделок вместо фиксов.

скорее второе

[Crulod]

скорее не первое и не второе. свистоперделка для АНБ стала достоянием кулхецкеров и потеряла актуальность. теперь даже Никитасик знает все про эту игрушку


...это происходит постоянно.

[L'ecran]

...это происходит постоянно.

Никитасик постоянно узнаёт про новые уязвимости? 

[nikitas]

Никитасик постоянно узнаёт про новые уязвимости? 

Никитас бороздит ИТ форуме и восстановил себе акк на "ИТ-бложичке" из РО  

Собсна там в блоке Есета и был список что в апдейте.

[Avangard]

А я харбу почитываю, и для простого обывателя этого хватает с головой.

[Fijneman]

А как узнать, юзает ли автозагрузку шрифтов мой огнелис или хром?

[nikitas]

А как узнать, юзает ли автозагрузку шрифтов мой огнелис или хром?

Хрен знает. Я просто библиотеку закрыл и все

[Disconnected]

Никитас снова поломал Шинду =(

[Fijneman]

Короче по ходу я не умею в консоль 7 (х64) ибо

 

T:\>Icacls.exe "%windir%\syswow64\t2embed.dll" /deny everyone:(F)
everyone: Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.
Успешно обработано 0 файлов; не удалось обработать 1 файлов

 

Запускал от админа. Хотя команды с takeown обрабатывает.

 

Лана, оставим как есть на свой страх и риск. Усё равно 7ка не обновлялась уже года 2, да и по подозрительным сайтам не лазаю.

[DIMFIRE]

Рекомендую раз в 2-3 месяца бекапить образ винды целиком.

[Crulod]

да и по подозрительным сайтам не лазаю.

вахаха... смарите! он не лазает...

хотя... темы в про реалполитику не читаешь? в "чуток поржать" всякое фуфло не разглядываешь? тогда - может быть

[err0r]

Короче по ходу я не умею в консоль 7 (х64) ибо
 
 

T:\>Icacls.exe "%windir%\syswow64\t2embed.dll" /deny everyone:(F)
everyone: Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.
Успешно обработано 0 файлов; не удалось обработать 1 файлов

 
Запускал от админа. Хотя команды с takeown обрабатывает.
 
Лана, оставим как есть на свой страх и риск. Усё равно 7ка не обновлялась уже года 2, да и по подозрительным сайтам не лазаю.

Аналогично, ту же фигню выдает.