esetnod32 Apr 18 2015 at 11:46

Уязвимость CVE-2015-1635 (MS15-034) эксплуатируется in-the-wild

2 min

37K

ESET NOD32 corporate blogInformation Security*

+32

Comments 17

nikitasius Apr 18 2015 at 12:11

Всем солнечной субботы! Это даже не решето, это:

BalinTomsk Apr 19 2015 at 05:31

Видать в компании Microsoft не знают что такое юнит-тесты.
Примеры кода Microsoft которые мне попадались — ужасный шлак.

MichaelBorisov Apr 18 2015 at 13:02

Range: bytes=18-18446744073709551615

Я вот думаю: ошибка в драйвере http.sys, скорее всего, связана с переполнением целого. В RFC723x черным по белому написано, что протокол не имеет ограничений на длину целых чисел, и что реализации должны быть готовы к произвольной их длине, и не оставлять в этом случае дыр.

Facepalm

amarao Apr 18 2015 at 15:01

Я не буду троллить на тему «винда дырявая» — CVE у всех бывают.

Я задам другой вопрос: почему HTTP обрабатывается с правами ядра? Это вполне себе user-space задача и могла бы решаться как обычная библиотека, загружающаяся в адресное пространство процесса. В этом случае размер проблемы был бы ограничен конкретным тредом/приложением, а не BSOD'ом.

Nomad1 Apr 18 2015 at 15:12

Я вообще увидев http.sys решил, что это апрельская шутка запоздала. Ан нет, kernel mode listener that handles all HTTP traffic for Windows. Может, так быстрее, по аналогии с kernel module для jpeg-декодирования в Linux/Android, или… (на этом мысль обрывается, в голову не приходят еще разумные аргументы).

mejedi Apr 18 2015 at 15:16

Так немного быстрее [1, 2].

amarao Apr 18 2015 at 15:33

Да, я понимаю соблазн. Но в случае с bsd, насколько я понимаю, оно всего лишь буфферизирует заголовок http, не вдаваясь в детали (условно говоря — до двойного перевода строки). А tempesta — это «для тех, кто смел и понимает».

В этом случае-то проблема не в том, что кто-то использует ядро для акселерации user-space задач, а в том, что этот код отдаётся всем кастомерам и включен по-умолчанию на всём, что хоть как-то относится к http с серверной стороны.

UFO just landed and posted this here

TerAnYu Apr 18 2015 at 18:25

Возможно что бы проверить акивацию винды или работа wsus-сервиса (сервиса обновления самой системы).
Так же KMS-активация, она через http(s) работает.

UFO just landed and posted this here

AndersonDunai Apr 18 2015 at 22:41

AHTOLLlKA Apr 19 2015 at 11:29

это уже не решето, читай первый коммент

Boba_Fett Apr 19 2015 at 14:56

Однако, на некоторых современных клиентских выпусках Windows (в зависимости от конфигурации системы и ее сервисов

Где-нибудь имеется более подробная информация о соответствующих настройках системы?

Imposeren May 17 2015 at 20:50

толи автокад, то ли 3д-макс, то ли еще что-то дорогое и масштабное, ставят такие себе «хелп-серверы» отдающие справочную информацию по http на каком-нибудь нестандартном локальном порту. И кто знает — может иногда оно не только локально работает

Isopropil Apr 19 2015 at 18:32

Ну вот всегда говорил, что индусская прошивка для игровых приставок — не лучшее решение для установки на сервер. Вот вам и очередное подтверждение.

realscorp Apr 19 2015 at 19:26

Печаль, но бывает.
Между тем 13 апреля вышли патчи для серверных ОС Microsoft по поводу этого CVE, гуглить по «KB3042553».