Утром, на Security TechCenter, набрел на замечательное известие. Поражает в нем не количество шестерок, а суть — все отлично, но если вы используете MS Office, то стоит напрячься и почитать что написано статье.
Все просто — найдена новая уязвимость, позволяющая выполнять код с правами текущего пользователя. Ориентирована она на Microsoft Windows и Office. Эксплоит распространяется в виде doc-файла, который распространяется по электронной почте.
Примечание: Надеятся на то что эта гадость «пролетит мимо нас» не нужно. Проще перебдеть, чем потом рвать на спине волосы
На данный момент есть только временное решение, которое не устраняет причину, но временно блокирует обработку TIFF-файлов, который провоцирует баг.
Суть метода такова — через реестр отключается TIFF-кодек и все…
Жестко, но вполне оправдано:
-
Открываем редактор реестра, находим ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus
-
Создаем значение с типом DWORD
DisableTIFFCodec
-
Задаем его в «1». Что бы включить обработку, после выхода патча, надо задать его в «0».
Уязвимость затрагивает Windows Server 2008, Office 2003-2010 и все версии Microsoft Lync, а также клиентские системы Windows Vista — Windows 7. Стоит отдельно отметить что если у пользователя установлен Microsoft Office 2010, а сам он работает на базе Windows 7, 8 или 8.1, то ему ничего не грозит.
На мой взгляд, самый разумный сценарий, в данном случае будет следующим — средствами Group Policy Preferences стоит распространить реестровое значение на всех пользователей, которым TIFF не особо нужен, а те кто его используют должны быть защищены с помощью EMET.
После выхода патча, возвращаем значение DisableTIFFCodec в «0», а EMET оставляем на месте.