12. 11. 2013

Uvedená zranitelnost byla objevena v komponentě Microsoft Graphics. Tato chyba následně ovlivňuje uvedené aplikace společnosti Microsoft.

Charakteristika zranitelnosti

Zranitelnost umožňuje útočníkům vzdáleně spustit libovolný kód na nezabezpečené stanici. Pro využití této zranitelnosti útočník využívá speciálně vytvořeného obrázku ve formátu TIFF. Otevřením tohoto speciálně vytvořeného souboru nebo prohlížením takového souboru na webových stránkách může dojít k tomu, že útočník získá stejná přístupová práva ke stanici, jako má přihlášený uživatel. Menšímu riziku jsou vystaveni uživatelé s menšími uživatelskými právy.

Postižené systémy

Microsoft udává následující zranitelné systémy:

  • Windows Vista SP2 (x86 a x64)
  • Windows Server 2008 SP2 (x86 a x64), Itanium, Server Core
  • Microsoft Office 2003 SP3
  • Microsoft Office 2007 SP3
  • Microsoft Office 2010 SP1 (x86 a x64)
  • Microsoft Office 2010 SP2 (x86 a x64)
  • Microsoft Office Compatibility Pack
  • Microsoft Lync 2010 (x86, x64 a Attendee)
  • Microsoft Lync 2013 (x86 a x64)
  • Microsoft Lync Basic 2013 (x86 a x64)

Společnost McAfee Lab navíc udává zranitelnost jak u starších verzí Microsoft OS (např. XP) tak i novějších Windows 7.

Dopad zranitelnosti

Umožní útočníkovi získat přístupová práva, jako má přihlášený uživatel.

Řešení

Doposud nebyla vydána oprava pro tuto zranitelnost, ale Microsoft doporučuje následující opatření:

  • Zakázat TIFF kodek (návod na stránkách Microsoftu |1|)
  • Další možností je použít dočasné řešení vydané Microsoftem |4|
  • Nainstalovat poslední dostupné aktualizace aplikací od Microsoftu
  • Mít nainstalován aktuální antivirový systém

CVE

CVE-2013-3906

Odkazy

  1. http://technet.microsoft.com/en-us/security/advisory/2896666
  2. http://arstechnica.com/security/2013/11/install-fix-to-stop-in-the-wild-windows-and-office-exploit-microsoft-warns/
  3. http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2
  4. https://support.microsoft.com/kb/2896666