Microsoft исправила уязвимость в устаревшем приложении RDCMan

Специалисты компании Microsoft устранили уязвимость в приложении Remote Desktop Connection Manager (RDCMan). Поддержка RDCMan была прекращена техногигантом в прошлом году из-за уязвимости раскрытия информации ( CVE-2020-0765 ), которую компания решила не исправлять.

Проблема связана с некорректным анализом вводимых XML-данных, содержащих ссылку на внешний объект. Эксплуатация уязвимости позволяет злоумышленнику читать произвольные файлы через объявление внешней сущности XML (XML external entity, XXE).

После прекращения поддержки приложения Microsoft посоветовала клиентам перейти на встроенное в Windows подключение к удаленному рабочему столу.

Однако в нынешнем году компания добавила RDCMan в набор инструментов Windows Sysinternals и выпустила версию приложения 2.8 в конце июня. Как оказалось, Microsoft с выпуском версии RDCMan 2.8 устранила другую уязвимость, а не ту, которая привела к прекращению поддержки.

На этой неделе техногигант объявил об исправлении уязвимости CVE-2020-0765 ​в версии RDCMan 2.82. Новая версия диспетчера подключений к удаленному рабочему столу работает на компьютерах под управлением версий Windows 8.1 и младше или Windows Server 2012 и младше.