Security Lab

Спуфинг атака в Windows CryptoAPI

Дата публикации:14.10.2009
Всего просмотров:3073
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Storage Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows 7
Уязвимые версии:
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
Microsoft Windows Vista
Microsoft Windows 2008
Microsoft Windows 7

Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.

1. Уязвимость существует из-за ошибки при обработке ASN.1 данных в X.509 сертификатах. Удаленный пользователь может с помощью нулевого байта в поле Common Name подменить доверенный сертификат.

2. Целочисленное переполнение обнаружено при обработке идентификаторов ASN.1 объектов в X.509 сертификатах. Удаленный пользователь может с помощью специально сформированного Object Identifiers (OID) подменить доверенный сертификат.

URL производителя: www.microsft.com

Решение: Установите исправление с сайта производителя.

Microsoft Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?familyid=52b9198d-b65f-467a-a5ab-141e23d64a86

Windows XP SP2/SP3:
http://www.microsoft.com/downloads/details.aspx?familyid=9c5ab624-e37b-418a-a919-d8f652b15679

Windows XP Professional x64 Edition SP2:
http://www.microsoft.com/downloads/details.aspx?familyid=ad29696d-4611-4a12-9dfa-74fa6866b759

Windows Server 2003 SP2:
http://www.microsoft.com/downloads/details.aspx?familyid=49e9cc53-cf17-4bc7-aaaa-92213167e1a9

Windows Server 2003 x64 Edition SP2:
http://www.microsoft.com/downloads/details.aspx?familyid=d170cef9-f5d2-4fcd-997b-e778ad5a6797

Windows Server 2003 with SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=2ede1eb9-7f5f-411d-bbc3-5db46d80e0bb

Windows Vista (опционально с SP1/SP2):
http://www.microsoft.com/downloads/details.aspx?familyid=8b5a9a95-9439-40c8-acef-000b919daa04

Windows Vista x64 Edition (опционально с SP1/SP2):
http://www.microsoft.com/downloads/details.aspx?familyid=4a60f789-1a4a-49a8-8d13-fda989ed40be

Windows Server 2008 for 32-bit Systems (опционально с SP2):
http://www.microsoft.com/downloads/details.aspx?familyid=f9b487af-fe73-42a8-b240-d59c4321f95b

Windows Server 2008 for x64-based Systems (опционально с SP2):
http://www.microsoft.com/downloads/details.aspx?familyid=0d8a2a3e-d7d4-47fb-8364-16fce28e4d38

Windows Server 2008 for Itanium-based Systems (опционально с SP2):
http://www.microsoft.com/downloads/details.aspx?familyid=8962f0b6-f346-4e88-9d83-4d15b699dd9d

Windows 7 for 32-bit Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=ad6f06d5-27db-445d-a8b2-c42adc90afc0

Windows 7 for x64-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=70cd0270-77e9-492a-82d9-798364640c10

Windows Server 2008 R2 for x64-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=ce78c019-ec08-4ec6-abec-334f5ec5cb76

Windows Server 2008 R2 for Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=6442a77a-3c0d-4beb-b2d2-2885376c2135

Ссылки: (MS09-056) Vulnerabilities in Windows CryptoAPI Could Allow Spoofing (974571)