CVE-2013-3918
Microsoft Windows
2025-10-06
Microsoft Windows contains an out-of-bounds write vulnerability in the InformationCardSigninHelper Class ActiveX control, icardie.dll. An attacker could exploit the vulnerability by constructing a specially crafted webpage. When a user views the webpage, the vulnerability could allow remote code execution. An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. The impacted product could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2013-3918 представляет собой ошибку записи за пределы выделенного буфера памяти (out-of-bounds write) в элементе управления ActiveX InformationCardSigninHelper, который реализован в системной библиотеке icardie.dll.
Злоумышленник может проэксплуатировать эту уязвимость, создав специально подготовленную вредоносную веб-страницу.
При открытии такой страницы пользователем (как правило, через Internet Explorer) происходит повреждение памяти, что приводит к удаленному выполнению произвольного кода (RCE).
В случае успешной эксплуатации атакующий получает в системе те же права, которыми обладает текущий пользователь (поэтому работа с правами локального администратора критически усугубляет последствия).
Данный компонент связан с технологией Windows CardSpace, которая признана устаревшей (End-of-Life / End-of-Service), что делает ее использование в современных корпоративных средах неоправданным риском.
Как исправить
Поскольку уязвимость затрагивает устаревший компонент, стратегия исправления должна сводиться к установке патчей и планомерному отказу от EoL-продуктов: Установите официальное кумулятивное обновление безопасности для Internet Explorer, выпущенное в рамках бюллетеня MS13-090 (KB2898785). Если уязвимость обнаружена на операционных системах, снятых с поддержки (Windows XP, Windows 7, Windows 8, Windows Server 2003/2008), инициируйте процесс миграции на актуальные версии ОС (Windows 10/11, Windows Server 2019/2022). Полностью прекратите использование технологии Information Cards / Windows CardSpace в бизнес-процессах компании. Удалите Internet Explorer из системы, если он не требуется для критически важных унаследованных (legacy) приложений, так как он является основным вектором атаки для данного ActiveX-компонента.
Временные меры
Если немедленная установка обновлений или миграция невозможны, примените следующие компенсирующие меры (Workarounds) для снижения риска эксплуатации:
Отмените регистрацию уязвимой библиотеки icardie.dll в системе. Это предотвратит возможность загрузки компонента браузером (выполнять от имени Администратора):
regsvr32.exe /u /s icardie.dll
Остановите и полностью отключите службу Windows CardSpace (idsvc), с которой взаимодействует данный ActiveX-элемент:
Stop-Service -Name idsvc -Force
Set-Service -Name idsvc -StartupType Disabled
Настройте групповые политики (GPO) для Internet Explorer: установите уровень безопасности для зон "Интернет" и "Местная интрасеть" на "Высокий". Заблокируйте выполнение ActiveX-элементов и активных сценариев (Active Scripting) в настройках браузера для всех недоверенных сайтов.