Symantec исправили уязвимость подмены DLL в корпоративных продуктах

Олег Иванов 16 Ноября 2016 - 21:37

Малый и средний бизнес

...

Во вторник Symantec проинформировали своих клиентов о том, что устранили уязвимость в своих корпоративных продуктах, которая позволяла загрузить DLL. Эта брешь в безопасности отслеживается под идентификатором CVE-2016-6590, о ней компании сообщил один из сотрудников, исследователь угроз, Himanshu Mehta. Недостаток затрагивает такие продукты как IT Management Suite (ITMS) 8.0, Ghost Solution Suite (GSS) 3.1 и Endpoint Virtualization (SEV) 7.x. Обновления были выпущены для каждого из уязвимых продуктов.

Согласно Symantec, уязвимые продукты не использовали абсолютный путь при загрузке DLL-файлов в процессе перезагрузки, либо загрузки системы. Это может привести к тому, что вредоносный DLL-файл может быть загружен до легитимного, что открывает возможность для выполнения произвольного кода, возможно, даже с повышенными привилегиями.

Для того чтобы эта атака сработала, злоумышленнику нужно каким-либо способом поместить на атакуемую систему вредоносный DLL-файл. Этого можно добиться, например, заставив пользователя самостоятельно загрузить этот файл, используя социальную инженерию или другие способы.

В операционной системе Windows приложения могут контролировать каталоги, из которых загружаются DLL, указав полный путь к файлу или с помощью других механизмов. Однако если приложение пренебрегает этими методами, операционная система включает стандартный поиск DLL в определенном порядке, чтобы найти требуемый файл.

В случае с десктопными приложениями, Windows сначала ищет DLL в каталоге, из которого загружается приложение. Некоторые исследователи отмечали, что такой механизм может представлять серьезную опасность, если инсталлятор запускается из папки «Downloads». Проблема в том, что все загруженные из Интернета файлы, как правило, сохраняются именно в этом каталоге, а это упрощает задачу злоумышленника.

В отличие от многих компаний, которые расценивают подобные уязвимости как не представляющие серьезной опасности, Symantec классифицировали проблему в своих продуктах как «уязвимость высокой степени риска».

Эксперт Mehta ранее уже сообщал о подобных ошибках в продуктах девяти других вендоров. Однако не все из них были исправлены.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 22 Ноября 2024 - 09:26

iOS Эксплойты Уязвимости программ Домашние пользователи Корпорации

Инструмент для взлома GrayKey работает с iPhone 16, но не с iOS 18

Слитые на днях документы показали, что GrayKey, инструмент для взлома iPhone, может получить доступ и к последней модели смартфона — iPhone 16. Однако только в том случае, если он работает на не бета-версии iOS 18.

Graykey можно назвать прямым конкурентом Cellebrite. Последняя программа, например, недавно помогла взломать смартфон стрелка, ранившего Дональда Трампа.

Разработчики GrayKey и Cellebrite скупают информацию об уязвимостях нулевого дня, которые Apple ещё не успела пропатчить. Интересно, что обе компании регулярно публикуют таблицу с актуальным списком девайсов, которые можно взломать.

Изданию 404Media удалось получить часть внутренних документов Graykey, согласно которым софт может взломать всю линейку iPhone 11, а также частично модели с iPhone 12 по iPhone 16 включительно.

Таким образом, можно сделать вывод, что последние существенные аппаратные меры безопасности Apple реализовала именно в iPhone 12. Тем не менее, поскольку подробности не раскрываются, остаётся лишь гадать, что значит «частичный взлом».

Это может быть обычный доступ к незашифрованному содержимому хранилища и метаданным зашифрованного контента. Однако GrayKey не может ничего противопоставить любой из бета-версий iOS 18, о чём говорит сама таблица.

Отметим также новую функцию безопасности в iOS 18 — автоматический перезапуск iPhone, который недавно добавил головной боли полиции.