Компания Oracle выпустила почти 300 патчей, устранив уязвимости, которые использовало АНБ

отметили
29
человек
в архиве
Компания Oracle выпустила почти 300 патчей, устранив уязвимости, которые использовало АНБ

Как можно увидеть на графике ниже, количество патчей, которые выпускает компания Oracle, неуклонно растет, и в последние годы разработчики компании регулярно исправляют более 200 уязвимостей за раз. Однако с выходом апрельского Critical Patch Update (CPU) компания вновь превзошла себя, устранив сразу 299 уязвимостей, что является новым рекордом.

источник: xakep.ru

Согласно официальному сообщению компании, более 100 из 299 уязвимостей можно было эксплуатировать удаленно, без аутентификации. Фактически это означает, что проблемы можно было эксплуатировать через вредоносный сайт или другую удаленную атаку, все зависит от конкретного продукта и бага.

Больше всего патчей на этот раз получили Oracle Financial Services Applications (47 исправлений), Oracle Retail Applications и Oracle MySQL (по 39 исправлений у каждого решения). Как можно заметить, в тройку «лидеров» не вошла Java, которая, к примеру, зачастую используется злоумышленниками для установки малвари. На этот раз Java получила лишь 8 патчей, впрочем, 7 из них закрывают RCE-уязвимости.

Также в состав апрельского CPU вошли обновления, закрывающие «дыры», которыми пользовались хакеры АНБ. Напомню, что 8 апреля 2017 года хакерская группа The Shadow Brokers вернулась из небытия, опубликовав новую порцию хакерских инструментов из арсенала спецслужб. Новый дамп содержал эксплоит для 0-day уязвимость в ОС Solaris и другие инструменты для взлома *NIX систем; фреймворк TOAST, который спецслужбы используют для очистки логов и заметания следов; инструмент ELECTRICSLIDE, позволяющий замаскироваться под китайский браузер с фальшивым Accept-Language, а также многое другое.

Среди 299 исправлений Oralce можно найти патч для уязвимости CVE-2017-3622, который закрывает баг, допускающий локальное повышение привилегий в Common Desktop Environment в Solaris 10. Данную проблему эксплуатировал инструмент EXTREMEPARR. Также специалисты Oracle сообщают, что уязвимость неопасна для Solaris 11.

Еще два инструмента АНБ, EBBISLAND и EBBSHAVE, использовали RPC-уязвимость в ядре, получившую идентификатор CVE-2017-3623. Баг представлял угрозу для Solaris начиная с шестой версии и заканчивая десятой (на x86 и Sparc). Версии Solaris 11 и Solaris 10 были вне зоны риска, (последняя только с установленным исправлением от января 2012 года).

Британский эксперт Мэтью Хики (Matthew Hickey), который испытывал эксплоиты EXTREMEPARR и EBBISLAND на Solaris младше одиннадцатой версии, предполагает, что Oracle, в некотором роде, просто повезло:

«Нет никакой информации о локальном CDE root. И, похоже, что им просто повезло запатчить удаленно эксплуатируемую RPC-уязвимость еще в 2012 году: это был ранее неизвестный баг, который теперь получил новый CVE идентификатор», — объясняет специалист.

На прошлой неделе стало известно, что компания Microsoft наконец реализовала замысел, о котором предупреждала пользователей давно. Владельцы новых поколений процессоров (в частности, Kaby Lake компании Intel и Bristol Ridge компании AMD), которые пользуются Windows 7 и 8.1, фактически перестали получать обновления, не считая редких обновлений безопасности.

Многие пользователи были в ярости, когда обнаружили, что патчи из состава апрельского «вторника обновлений» попросту не устанавливаются, сообщая о несовместимости с железом. В наиболее странном положении оказались некоторые пользователи Windows 8.1, так как их система до 2018 года находится в фазе «основной поддержки» (mainstream support) и имеет поддержку USB 3 и NVMe. Однако в итоге получилось, что новые ограничения распространяются и на них.

Пользователь GitHub, известный как Zeffy, решил исправить проблему своими силами. Исследователь выяснил, что за ограничения отвечает обновление KB4012218, вышедшее в марте 2017 года. Еще тогда Zeffy отреверсил обновление и начал разрабатывать средство обхода нового запрета, а после релиза апрельского набора патчей он получил возможность опробовать свое решение в деле. Как оказалось, метод работает: патчит DLL-файлы Windows и опускает проверку версии CPU, что позволяет успешно установить обновления на Windows 7 и 8.1, даже если они работают в системе, построенной на базе процессора седьмого поколения.

Свои скрипты и руководство по их использованию исследователь опубликовал на GitHub.Проект полностью открытый, так что любой желающий может убедиться в том, что Zeffy не попытался спрятать в коде малварь и не задумал ничего дурного.

На GitHub исследователь пишет, что после реверса KB4012218 ему удалось обнаружить две новых функции в wuaueng.dll: IsCPUSupported(void) и IsDeviceServiceable(void). Фактически скрипты Zeffy «исправляют» данный файл, присваивая обеим функциям значение «1», то есть supported CPU («поддерживаемый процессор»). Единственным минусом данного метода разработчик называет необходимость патчить wuaueng.dll каждый раз, как он обновляется. Впрочем, эту процедуру вряд ли можно назвать сложной и долгой.

Добавил owari owari 20 Апреля
Комментарии участников:
Ни одного комментария пока не добавлено


Войдите или станьте участником, чтобы комментировать