Le 2 mars 2010 Aucun Commentaire 2 March 2010 No Comment

La demande de l'aide dans Windows pourrait mener pour plus s'inquiéter.Asking for help in Windows could lead to more trouble.

Une vulnérabilité nouvellement découverte dans l'Explorateur Internet (C'EST-À-DIRE) exerce une influence la capacité d'un script Fondamental Visuel d'invoquer un.HLP (le format de dossier d'Aide de Windows) le dossier, qui pourrait donner à un attaquant lointain la capacité de diriger le code arbitraire sur un système affecté.A newly discovered vulnerability in Internet Explorer (IE) leverages the ability of a Visual Basic script to invoke a .HLP (Windows Help file format) file, which could give a remote attacker the ability to run arbitrary code on an affected system.

Les utilisations Fondamentales visuelles la syntaxe suivante pour appeler la fonction de MsgBox, qui est utilisée pour afficher des boîtes de message :Visual Basic uses the following syntax to call the MsgBox function, which is used to display message boxes:

MsgBox(prompt[,buttons][,title][,helpfile,context])

Cependant, si un dossier.HLP spécialement fait à la main passe puisque des utilisateurs variables, lointains seraient capables de diriger le code arbitraire sur un système affecté. Pour déclencher la vulnérabilité, un peu d'action réciproque d'utilisateur est nécessaire, puisqu'il/elle doit être dirigé vers la page accueillant l'exploit et appuyer sur F1 quand la boîte de message apparaît.However, if a specially crafted .HLP file passes as a variable, remote users would be able to run arbitrary code on an affected system. To trigger the vulnerability, some user interaction is needed, as he/she has to be directed to the page hosting the exploit and to press F1 when the message box appears.

L'exploit n'affecte pas toutes les versions de Windows. Les systèmes dirigeant Windows 2000, Windows XP et Serveur de Windows 2003 sont vulnérables. Ceux qui dirigent la Vue, le Serveur 2008, le Serveur 2008 R2 et Windows 7 ne sont pas.The exploit does not affect all versions of Windows. Systems running Windows 2000, Windows XP, and Windows Server 2003 are vulnerable. Those that run Vista, Server 2008, Server 2008 R2, and Windows 7 are not.

Microsoft est déjà consciente de l'édition et a publié la déclaration suivante :Microsoft is already aware of the issue and has issued the following statement:

Nos équipes travaillent pour adresser l'édition et dès que nous accomplissons notre enquête, nous prendrons des mesures appropriées pour protéger des clients. Cela peut inclure la libération d'une mise à jour de la bande. Nous fournirons des mises à jour de plus puisqu'ils deviennent disponibles.Our teams are working to address the issue and once we complete our investigation, we will take appropriate action to protect customers. This may include releasing an update out of band. We will provide further updates as they become available.

En plus, il a libéré aussi une sécurité consultative que les détails plusieurs workarounds pour dite vulnérabilité. Pour les utilisateurs, le conseil le plus important est simple — n'appuient pas sur la clé F1 quand provoqué par un site Internet.In addition, it also released a security advisory that details several workarounds for the said vulnerability. For users, the most important advice is simple—do not press the F1 key when prompted by a website.

Jusqu'à ce que la pièce officielle soit libérée, cependant, la Tendance Petit Security™ Profond peut aider à protéger des utilisateurs de cette vulnérabilité et de Tendance de Petits utilisateurs OfficeScan™ avec le Mur pare-feu de Défense d'Intrusion (IDF) enfichable sont aussi protégés de cette attaque si leurs systèmes sont actualisés avec le filtre d'IDF10009.Until the official patch is released, however, Trend Micro Deep Security™ can help shield users from this vulnerability and Trend Micro OfficeScan™ users with Intrusion Defense Firewall (IDF) plug-in are also protected from this attack if their systems are updated with the IDF10009 filter.

Poste de : TrendLabs | le Blog de Malware - par la Tendance PetitePost from: TrendLabs | Malware Blog - by Trend Micro

Le fait d'appeler Windows pour l'Aide Peut Mener à la VulnérabilitéCalling Windows for Help May Lead to Vulnerability