Уязвимость удаленного выполнения кода в графическом компоненте Windows
Описание
Существует уязвимость выполнения удаленного кода из-за того, как графический компонент Windows обрабатывает объекты в памяти. Злоумышленник, который успешно эксплуатирует эту уязвимость, способен получить контроль над затронутой системой. Злоумышленник затем может устанавливать программы; просматривать, изменять или удалять данные; создавать новые учетные записи с полными правами пользователя. Пользователи, чьи учетные записи настроены с меньшими правами доступа в системе, могут иметь меньший риск, чем пользователи с правами администратора.
Способы эксплуатации уязвимости
Существует несколько способов, как злоумышленник может эксплуатировать уязвимость:
-
Веб-атака: Злоумышленник может создать специально подготовленный веб-сайт, предназначенный для эксплуатации этой уязвимости, и затем убедить пользователя просмотреть этот сайт. Злоумышленник не может заставить пользователя просмотреть контролируемый им контент. Вместо этого ему необходимо убедить пользователя предпринять действие, обычно заставив их кликнуть на ссылку в электронном письме или в сообщении мессенджера, которая ведет на сайт злоумышленника, или открыть вложение, отправленное по электронной почте.
-
Атака через обмен файлами: Злоумышленник может предоставить специально подготовленный документ, предназначенный для эксплуатации уязвимости, и затем убедить пользователя открыть этот документ.
Важно: Для затронутых продуктов Microsoft Office Окно предпросмотра является вектором атаки.
Исправление уязвимости
Обновление безопасности устраняет уязвимость, исправляя способ обработки объектов в памяти компонентом графики Windows.
Способы защиты
Отключение обработки метафайлов
Пользователи, работающие под Windows Vista или Windows Server 2008, могут отключить обработку метафайлов, изменив реестр. Это поможет защитить затронутую систему от попыток эксплуатации данной уязвимости.
Изменение ключа с помощью редактора реестра
Примечание: Неправильное использование редактора реестра может вызвать серьезные проблемы, требующие переустановки операционной системы. Microsoft не может гарантировать, что проблемы, возникающие в результате неправильного использования редактора реестра, могут быть решены. Используйте редактор реестра на свой страх и риск. Для получения информации о том, как редактировать реестр, смотрите раздел "Изменение ключей и значений" в справке редактора реестра (Regedit.exe).
- Нажмите Пуск, выберите Выполнить, введите Regedit в поле Открыть, затем нажмите ОК.
- Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize - В меню Правка укажите Создать, затем нажмите DWORD.
- Введите DisableMetaFiles и нажмите ENTER.
- В меню Правка выберите Изменить для изменения записи реестра DisableMetaFiles.
- В поле Данные значения введите 1 и нажмите ОК.
- Закройте редактор реестра.
- Перезагрузите компьютер.
Последствия реализации данного способа защиты
Отключение обработки метафайлов может привести к снижению качества отображения программного обеспечения или компонентов системы. Отключение обработки метафайлов также может привести к полному сбою программного обеспечения или компонентов системы. Это может оказать значительное влияние на функциональность и должно быть тщательно оценено и протестировано для определения его применимости.
Примеры возможных последствий:
- Вы не можете распечатать на компьютере.
- Некоторые приложения на компьютере могут не отображать элементы Clipart.
- Некоторые сценарии, связанные с OLE-отрисовкой, могут не работать.
Изменение ключа с помощью управляемого скрипта развертывания:
- Сохраните следующее в файл с расширением .REG (например, Disable_MetaFiles.reg):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize] "DisableMetaFiles"=dword:00000001
- Запустите скрипт реестра на целевой машине с помощью следующей команды из командной строки с правами администратора (на Vista необходим elevted администратор):
Regedit.exe /s Disable_MetaFiles.reg
- Перезагрузите компьютер.
Как отменить способ защиты
- Нажмите Пуск, выберите Выполнить, введите Regedit в поле Открыть, затем нажмите ОК.
- Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize - В меню Правка выберите Изменить для изменения записи реестра DisableMetaFiles.
- В поле Данные значения введите 0 и нажмите ОК.
- Закройте редактор реестра.
- Перезагрузите компьютер.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Vista Service Pack 2 | ||
| Windows Server 2008 for Itanium-Based Systems Service Pack 2 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Vista x64 Edition Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
GDI in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, and Windows 10 Gold and 1511 allows remote attackers to execute arbitrary code via a crafted document, aka "Windows Graphics Component RCE Vulnerability."
GDI in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, and Windows 10 Gold and 1511 allows remote attackers to execute arbitrary code via a crafted document, aka "Windows Graphics Component RCE Vulnerability."
Уязвимость операционной системы Windows, позволяющая нарушителю выполнить произвольный код
EPSS