CVE-2012-1889

Microsoft XML Core Services

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

Microsoft XML Core Services contains a memory corruption vulnerability which could allow for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2012-1889 — это критическая уязвимость в Microsoft XML Core Services (MSXML) версий 3.0, 4.0, 5.0 и 6.0. Проблема заключается в некорректной обработке объектов в оперативной памяти при попытке доступа к неинициализированному объекту.

Злоумышленник может эксплуатировать эту брешь через специально подготовленный веб-сайт, содержащий вредоносный JavaScript-код. При посещении такого сайта через Internet Explorer происходит повреждение памяти, что позволяет выполнить произвольный код (RCE) в контексте текущего пользователя. Это часто использовалось в связке с техниками Heap Spraying для обхода механизмов защиты ASLR и DEP.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft. В зависимости от используемой операционной системы, необходимо применить соответствующий патч (MS12-043).

  1. Запустите поиск обновлений через Центр обновления Windows:
wuauclt /detectnow

  1. Для систем, находящихся в изолированных сетях, необходимо скачать и установить пакеты обновления вручную из каталога обновлений Microsoft (Microsoft Update Catalog), ориентируясь на бюллетень безопасности MS12-043.

  2. Проверьте версию файла msxml3.dll (или соответствующих версий 4, 5, 6). После установки патча номер версии должен быть выше или равен указанным в бюллетене для вашей ОС.

Временные меры

Если немедленная установка обновлений невозможна, необходимо применить компенсирующие меры для снижения риска эксплуатации.

  1. Использование Microsoft Fix it (автоматическое решение): Примените решение "Enable MSXML60 Fix it", которое блокирует попытки эксплуатации через реестр.

  2. Установка "Kill bit" для уязвимых ActiveX-компонентов через реестр:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d00811-82f5-11d0-9554-00c04f900320}" /v "Compatibility Flags" /t REG_DWORD /d 0x00000400 /f


reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d00811-82f5-11d0-9554-00c04f900320}" /v "Compatibility Flags" /t REG_DWORD /d 0x00000400 /f

  1. Настройка зон безопасности Internet Explorer: Установите уровень безопасности "Высокий" для зон "Интернет" и "Местные узлы", чтобы запретить запуск ActiveX и сценариев.

  2. Использование EMET (Enhanced Mitigation Experience Toolkit): Настройте принудительное использование DEP (Data Execution Prevention) и SEHOP для процесса iexplore.exe, чтобы затруднить выполнение вредоносного кода в памяти.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей