Перейти к содержанию

Уязвимости MSXML 4.0 SP2 и MSXML 6.0 SP1


Рекомендуемые сообщения

  • Ответов 30
  • Created
  • Последний ответ

Top Posters In This Topic

  • Superkiller2

    11

  • skoworodker

    6

  • Roman_Five

    5

  • Mark D. Pearlstone

    3

зачем?

за тем, что бы избавиться от уязвимости. собственно это и был ваш вопрос:rolleyes:

какие библиотеки?

к примеру переместить из

C:\WINDOWS\system32\msxml4.dll

в то место где у вас обнаружена уязвимость. если нужно подробнее - напишите в каких именно файлах у вас найдены уязвимости, я вам всё подробно распишу;)

Ссылка на комментарий
Поделиться на другие сайты

skoworodker,

MSXML 4.0 SP 2

С:\Program Files\msi InstallSource MSXML\4\System\msxml4.dll

MSXML 6.0 SP1

С:\Program Files\msi InstallSource .NET Framework 3.0\dotnetfx3\wcu\MSXML\System\msxml6.dll

MSXML 6.0 SP1

С:\Program Files\msi InstallSource MSXML\6\System\msxml6.dll

Microsoft Office 2003 component

С:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSO.DLL

спасибо

 

т.е. возможно WU установил обновления для MSXML в папку system32 и уязвимость можно устранить, заменив старые файлы в Program Files на установленные WU в system32?

Изменено пользователем Superkiller2
Ссылка на комментарий
Поделиться на другие сайты

Добрый день.

Вы, судя по всему используете сборку windows xp, либо был установлен пакет "Установочный пакет Microsoft .NET Framework 1.1-3.5" который содержит все версии и устанавливается без перезагрузок.

Я бь всётаки посоветовал бы для корректной работы системы удалить через установку\удаление программ все пакеты "NET" и "MSXML", и установить их заново через службу windows update, как вам советовали выше. в таком случае все пакету установятся корректно по корректным путям и не останется уязвимостей.

будут вопросы пишите:rolleyes:

 

т.е. возможно WU установил обновления для MSXML в папку system32 и уязвимость можно устранить, заменив старые файлы в Program Files на установленные WU в system32?

теоретически можно заменить, но вобщето ни .NET ни MSXML не должны устанавливаться в папки С:\Program Files\msi InstallSource...

когда я говорил о замене, я подразумевал что какието другие программы пользуются этими библиотеками, и были установлены в папку программы вместе с самой программой. а тут получается что сам MSXML был установлен в programm files, чего быть не должно. лучше сделать как я описал выше и подобных проблем у вас в дальнейшем больше не будет.

Изменено пользователем skoworodker
Ссылка на комментарий
Поделиться на другие сайты

skoworodker, у меня сборка Windows XP, я удалил все старые версии Microsoft NET Framework с помощью Microsoft NET Framework CleenUp Tool и установил Microsoft NET Framework 2,0. В качестве альтернативы меню "Установка и удаление программ" я использую программу Safarp. Это хороший выбор или стоит в данном случае воспользоваться стандартным "Установка и удаление программ"? Все версии NET Framework я собираюсь удалить с CleenUp Tool.

Ссылка на комментарий
Поделиться на другие сайты

я не вижу большой разницы в способе удаления, т.к. ваша программа тоже использует способ деинсталяции программы стандартными средствами. просто потом она ещё и чистит компьютер от "хвостов"

Ссылка на комментарий
Поделиться на другие сайты

сам NET framework не является высокоприоритетным обновлением, а вот заплатки для него да.

проверьте ещё раз компьютер на наличие уязвимостей.

Ссылка на комментарий
Поделиться на другие сайты

  • 1 year later...

У меня лицензионная Win 7/x64 home расширенная и лицензионная программа Kaspersky Internet Security 2012 установлены на ноутбуке с COREi7. Установлены все обновления, какие только мне предлагал центр обновления Windows. Антивирусник нашел уязвимость в файле C:\Program Files (x86)\NTI\NTI Media Maker 9\Media Maker\msxml4.dll. Далее нажав надпись "Подробно" в окошке "Поиск уязвимостей" я был перенаправлен на страницу http://www.securelist.com/ru/advisories/23...es&VN=23655, где для решения проблемы мне советуют скачать и установить патч Windows 7 for x64-based Systems and Windows 7 for x64-based Systems SP1 and Microsoft XML Core Services 4.0 по адресу http://www.microsoft.com/downloads/details...d0-932c430abd14. Патч называется Security Update for MSXML 4.0 Service Pack 2 (KB954430). Я его скачал и установил, перегрузил ноутбук, но Kaspersky Internet Security 2012 продолжает видеть уязвимость в том же файле C:\Program Files (x86)\NTI\NTI Media Maker 9\Media Maker\msxml4.dll. Кстати, патч файла не изменил.

 

Пожалуйста, подскажите, что делать дальше, чтобы решить проблему?

Ссылка на комментарий
Поделиться на другие сайты

prot

Приложение распространяет библиотеку с собой, Windows не может ее обновить. Как вариант перенесите ее в другое место и проверьте работоспособность NTI Media Maker. Если работает ее можно не возвращать, если ре работает, можно попробовать заменить новой. Если не заработает тогда возвращайте старую.

Ссылка на комментарий
Поделиться на другие сайты

Mark D. Pearlstone... , да, MSXML 4.0 Service Pack 2 (KB954430) установлено. Сегодня центр обновления Windows попросил меня установить еще одно обновление: MSXML 4.0 SP2 (KB973688). Установил, результата нет, KIS 2012 все равно ругается на файл C:\Program Files (x86)\NTI\NTI Media Maker 9\Media Maker\msxml4.dll.

 

Наверное точно сказал Skarbovoy, что приложение распространяет библиотеку с собой и Windows не может ее обновить. Приложение NTI Media Maker 9 сейчас не активно, попробую спрятать библиотеку в другую папку и посмотреть, что из этого выйдет.

 

 

------------------------------------------------------------------------

 

Ну вот все получилось. Поиском нашел msxml4.dll (Файл MSXML 4.0 SP2, версия 4.20.9876.0 от 21.07.2009) в папке C:\Windows\SysWOW64. Этим файлом заменил родной msxml4.dll (Файл MSXML 4.0 SP2, версия 4.20.9818.0 от 14.06.2007) из папки C:\Program Files (x86)\NTI\NTI Media Maker 9\Media Maker.

 

Запустил по очереди все .ехе файлы в Media Maker. Замечаний работы приложения не обнаружил и KIS 2012 больше не ругается на файл C:\Program Files (x86)\NTI\NTI Media Maker 9\Media Maker\msxml4.dll.

 

Благодарю Всех откликнувшихся на мою просьбу. :help:

Изменено пользователем prot
Ссылка на комментарий
Поделиться на другие сайты

  • 1 year later...

lom, ставить последнюю версию Sony Picture Motion Browser, если она сейчас не стоит. Может там уязвимость исправлена.

Ссылка на комментарий
Поделиться на другие сайты

Установить программу Secunia она автоматически найдет SP3 для MSXML. Его просто нужно вручную скачивать так как через Windows Update это исправление не доступно

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SS78RUS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • KL FC Bot
      От KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • umdraak
      От umdraak
      Доброго времени суток!
       
      Ситуация следующая. На смартфон пришла смс-ка такого содержания: 
       
      "Здравствуйте! Вы подключили сервис <<Гороскоп дня>>. Стоимость 15 руб./день. Отключить подписку: [далее следует ccылка, готов предоставить].."

      Подозревая фишинг, хотел пробить ссылку в интернете на спецсайтах, но сослепу не заметил, что скопировал её в адресное окно браузера и случайно перешёл на сайт по указанной ссылке. Визуально произошла имитация процедуры отписки от некой мифической подписки и всё. Сам сайт - явно на коленке созданная имитация сервиса гороскопов.

      В ужасе пробил-таки ссылку на VirusTotal - сам сайт сильно засветиться не успел (создан 15 дней назад), но он входит в созвездие других сайтов, многие из которых уже обозначены в некоторых базах данных в качестве угроз безопасности.

      Все манипуляции со ссылкой происходили на смартфоне (Samsung, Android). На телефоне установлена бесплатная версия антивируса Kaspersky - прогнал проверку устройства, ничего не найдено.

      Просьба помочь в установлении природы той уязвимости, в которую я вляпался, и подсказать шаги по исправлению ситуации.
       
      (Если сюда можно сбрасывать ссылки на вредоносные сайты, то сброшу. Если нет, подскажите куда направить.)
       
      Заранее огромное спасибо! 
       
    • KL FC Bot
      От KL FC Bot
      Все приложения, включая ОС, содержат уязвимости, поэтому регулярные обновления для их устранения — один из ключевых принципов кибербезопасности. Именно на механизм обновлений нацелились авторы атаки Windows Downdate, поставив себе задачу незаметно «откатить» актуальную версию Windows до старой, содержащей уязвимые версии служб и файлов. После выполнения этой атаки полностью обновленная система оказывается вновь уязвимой к старым и хорошо изученным эксплойтам и ее можно легко скомпрометировать до самого глубокого уровня, реализовав даже компрометацию гипервизора и безопасного ядра и кражу учетных данных. При этом обычные инструменты проверки обновлений и «здоровья» системы будут рапортовать, что все полностью актуально и обновлять нечего.
      Механика атаки
      Исследователи фактически нашли два разных дефекта с немного различным механизмом работы. Одна уязвимость, получившая идентификатор CVE-2024-21302 и чаще называемая Downdate, основана на недочете в процессе установки обновлений. Хотя компоненты, получаемые во время обновления, контролируются, защищены от модификаций, подписаны цифровой подписью, на одном из промежуточных этапов установки (между перезагрузками) процедура обновления создает, а затем применяет файл со списком планируемых действий (pending.xml). Если создать этот файл самостоятельно и занести информацию о нем в реестр, то доверенный установщик (Windows Modules Installer service, TrustedInstaller) выполнит инструкции из него при перезагрузке.
      Вообще-то, содержимое pending.xml верифицируется, но на предыдущих этапах установки, TrustedInstaller не делает проверку заново. Прописать в него что попало и установить таким образом произвольные файлы не получится, они должны быть подписаны Microsoft, но вот заменить системные файлы более старыми файлами самой Microsoft вполне можно. Таким образом, система может быть вновь подвержена давно исправленным уязвимостям, включая критические. Чтобы добавить в реестр необходимые ключи, касающиеся pending.xml, требуются права администратора, а затем еще потребуется инициировать перезагрузку системы. Но это единственное весомое ограничение для проведения атаки. Повышенные права (при которых Windows запрашивает у администратора дополнительное разрешение на затемненном экране) для атаки не требуются, для большинства средств защиты выполняемые атакой действия также не входят в разряд подозрительных.
      Второй дефект, CVE-2024-38202, основан на подмене содержимого папки Windows.old, в которой система обновления хранит старую версию Windows. Хотя файлы в этой папке невозможно модифицировать без специальных привилегий, обычный пользователь может переименовать папку целиком, создать Windows.old заново и положить в нее нужные ему файлы, например устаревшие опасные версии системных файлов Windows. Затем нужно инициировать восстановление системы — и откат Windows к уязвимой версии состоится. Для восстановления системы нужны определенные права, но это не права администратора, ими иногда обладают и обычные пользователи.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Кибератаки на серверы и настольные компьютеры хорошо изучены командами ИБ, а методология защиты от них детально проработана. Гораздо сложнее обстоит дело с «незаметными» устройствами: маршрутизаторами, принтерами, медицинской техникой, камерами видеонаблюдения и другими приборами. А между тем они нередко подключены к общей сети организации наравне с серверами и рабочими машинами. Какие из этих устройств требуют первоочередного внимания ИБ-службы и какие факторы риска являются ключевыми в каждом случае, пытались разобраться авторы исследования «Riskiest connected devices 2024».
      Они проанализировали более 19 миллионов устройств: рабочих компьютеров, серверов, IoT-девайсов, специализированной техники для медицины и промышленности. Для каждого экземпляра устройства была вычислена степень риска по десятибалльной шкале, учитывающая наличие известных и эксплуатируемых уязвимостей, активность открытых портов, доступных из Интернета, наличие вредоносного трафика с устройства или на устройство. Дополнительно учитывается важность устройства для организации и возможность критических последствий при его компрометации. Вот какие устройства чаще всего оказывались уязвимыми и подверженными высоким рискам по мнению исследователей.
      Беспроводные точки доступа, маршрутизаторы и межсетевые экраны
      Два первых места в топе устройств с самым высоким уровнем риска в офисной сети уверенно заняли сетевые устройства. Маршрутизаторы, как правило, доступны из Интернета, при этом на многих из них открыты управляющие порты и сервисы, удобные для эксплуатации злоумышленниками: SSH, Telnet, SMB, а также узкоспециализированные проприетарные сервисы управления. За последние годы злоумышленники научились эффективно эксплуатировать уязвимости в этом классе техники, особенно в ее интерфейсах администрирования. Примерно так же обстоит дело и с межсетевыми экранами, тем более что для небольших компаний эти две функции часто объединены в одном устройстве. Точки доступа имеют небезопасные настройки даже чаще маршрутизаторов, но ситуацию немного смягчает то, что для их компрометации нужно находиться поблизости от устройства. Вектором первоначальной атаки обычно становится гостевая сеть Wi-Fi или выделенная сеть для мобильных устройств.
       
      View the full article

×
×
  • Создать...