среда, 29 сентября 2010 г.

Unpatched 0-day's, Stuxnet and M$

Не для какого уже давно не секрет,что как только появилась информация об использовании червем Stuxnet не закрытых уязвимостей, множество исследователей по разные стороны баррикад стали их искать. Кому-то удалось их найти, а кому-то нет, но не понятно, когда они будут закрыты. Обе уязвимости используются червем для повышения локальных привилегий в системе при своей инсталляции в систему.




Для Win2000/WinXP используется уязвимость в драйвере win32k.sys, которая позволяет выполнить при определенных обстоятельствах код ядре, переданный из пользовательского режима. А для повышения привилегий до SYSTEM на Vista/Win7 (x86/x64) используется очень забавная уязвимость в планировщике задач.


До выхода исправлений разглашать подробности не будем, а PoC уже давно ушли в MS, но с их стороны пока не понятно, когда точно эти уязвимости будут закрыты. Вероятнее всего в ближайший вторник, но не факт опять же.