Выполнение произвольного кода при обработке SSL сертификатов в Microsoft Windows

Дата публикации:	11.08.2010
Дата изменения:	11.08.2010
Всего просмотров:	841
Опасность:	Высокая
Наличие исправления:	Да
Количество уязвимостей:	1
CVSSv2 рейтинг:	(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID:	Нет данных
Вектор эксплуатации:	Удаленная
Воздействие:	Компрометация системы
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Microsoft Windows XP Home Edition Microsoft Windows XP Professional Microsoft Windows Storage Server 2003 Microsoft Windows Server 2003 Web Edition Microsoft Windows Server 2003 Standard Edition Microsoft Windows Server 2003 Enterprise Edition Microsoft Windows Server 2003 Datacenter Edition

Уязвимые версии:
Microsoft Windows XP
Microsoft Windows 2003

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки в SChannel при обработке сообщения запроса клиентского сертификата, полученного с удаленного сервера. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимость пользователь должен открыть вредоносный сайт в браузере Internet Explorer.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Windows XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=FF00381C-E74B-48E5-9DD9-34DBEDD906A2

Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=EAFFA70C-6F2B-4E66-B1BC-64BDBBBCD34F

Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=F76D68DF-97E5-489C-A5F6-0C378C1F62AE

Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=4543BCF0-3505-407B-A5A9-6250ECE6FBAC

Windows Server 2003 with SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=9EF992C3-96E9-4533-B844-07424A6054B3

Ссылки:
MS10-049: Vulnerabilities in SChannel could allow Remote Code Execution (980436)

Ваше имя:

Тип обращения:

Смайлики

Вы хотите разрешить смайлики в этом сообщении?

Защита от автоматических сообщений:

Символы на картинке:

12.02.2012

Чем платить за анонимность?

Есть такой размен: «удобство — приватность». Работает в обе стороны и в довольно ...

11.02.2012

Бухгалтеры под ударом

Вот вам и оборотная сторона борьбы с троянами, которые воруют деньги через клиент-банк. Сачков говор ...

10.02.2012

В чужой монастырь со своим поиском

Приходилось слышать, как самоуверенные иностранцы заявляли о поддержке в своём продукте русского язы ...

10.02.2012

Концептуальные взгляды на деятельность Вооруженных сил Российской Федерации в информационном пространстве

Алексей Лукацкий тут нашел очень интересный документ, который лично для меня значительно интереснее ...

10.02.2012

О сильных паролях замолвите слово: Введение

Данный пост не предполагает обсуждение техник придумывания и запоминания безопасных паролей, а напра ...

10.02.2012

Профсоюзный контроль

Наверное, ни для кого не секрет, что подавляющее большинство профсоюзных организаций в нашем государ ...

10.02.2012

МинОбороны РФ разработало стратегию кибервойны

Мы (включая меня) все время критикуем Россию за отсутствие стратегии ведения кибервойн.Однако в конц ...

09.02.2012

Лицензирование ТЗКИ усложнит жизнь операторам персональных данных

09.02.2012

Trademark

Вот тут некоторые говорят "репутация бренда". А ещё более некоторые – даже пытаются её измерят ...

09.02.2012

Еще немного про лицензирование

Продолжаю тему, поднятую в предыдущем посте. Думаю, что мы услышим еще немало самых разных мне ...

Rutracker подвергся DDoS-атаке

07 февраля, 2012

Атака на Rutracker началась 6 февраля около 22 часов и была направлена на форум ресурса.

Rutracker.org полностью восстановил работу

09 февраля, 2012

Руководители ресурса сообщают, что DDoS-атаку удалось преодолеть при поддержке компании Highloadlab....

В России может появиться негосударственная организация для фильтрации интернет-контента

07 февраля, 2012

Глава Минкомсвязи заявил, что государственная организация не справлялась бы с фильтрацией интернет-контента...

Anonymous взломали сайт московской «Единой России»

10 февраля, 2012

Anonymous взломали официальный сайт московской организации партии «Единая Россия», что стало третей атакой...

«Сбербанк» будет инвестировать IT-проекты молодых компаний

06 февраля, 2012

Финансовая структура создаст венчурный фонд объемом в $100 миллионов.

08 февраля, 2012

После закрытия популярного торрент-трекера MegaUpload владельцы некоторых торрент-сайтов начали задумываться...

В Windows 8 исчезнет кнопка «Пуск»

07 февраля, 2012

В Windows 8 переключать интерфейсы можно будет с помощью клавиши Windows на клавиатуре, комбинацией Ctrl+Esc...

Из Lib.ru были удалены «Собачье сердце» и «Мастер и Маргарита» по требованию правообладателя

10 февраля, 2012

Еще осенью 2011 года представители издательства «Проспект» обратились к основателю Lib.ru, заявив о владении...

В России ответственными за пиратство будут web-сайты и хостинг-провайдеры

09 февраля, 2012

Проект, подготовленным министром юстиций РФ, предусматривает введение новых норм регулирования права...

Google Россия извинилась за появления твита о «цивилизованной» коррупции при Путине

10 февраля, 2012

Появление незапланированного твита представители Google Россия назвали «сбоем в аккаунте».

09 февраля, 2012

Выполнение произвольного кода при обработке SSL сертификатов в Microsoft Windows

Множественные уязвимости в Google Chrome

Компрометация системы в MySQL

Множественные уязвимости в HP-UX

Переполнение буфера в Caminova DjVu Browser Plug-in

Множественные уязвимости в RealPlayer

Переполнение буфера в Novell iPrint Server

Неизвестная уязвимость в Skype

Множественные уязвимости в Apple Mac OS X

Выполнение произвольного кода в PHP

Выполнение произвольного кода в libpng