Microsoftは、Windows Vista +のOLEパッケージマネージャーコンポーネント(Packager.dll)の新しい0day脆弱性を報告するセキュリティアラート
SA 3010060を発行しました。 Packager.dllシステムライブラリの更新プログラムは、
ここで書いた別の0day脆弱性(CVE-2014-4114)を閉じるための月例パッチ火曜日の一部として先週
リリースされ ました 。 既にパッチが適用されたコンポーネントが脆弱性CVE-2014-6352を検出しました。 この脆弱性とその前身は、OLEオブジェクトが埋め込まれた特別に細工されたPowerPointプレゼンテーションファイルを介してコードをリモートで実行するために、攻撃者によって既に使用されています。
ユーザーを支援するために、この
リンクからダウンロードできるFixItがリリースされました。 この脆弱性を使用した典型的な攻撃シナリオでは、攻撃者は悪意のあるPowerPointプレゼンテーションファイルをユーザーのメールボックスに送信します。 次に、このエクスプロイトにより、リモートサーバーからマルウェアをダウンロードし、システムにインストールできます。 EMET 5.0ユーザーは、エクスプロイトアクションをブロックできる特別な設定を追加できます。 さらに、UACは、エクスプロイトの実行中に昇格した権限に関する対応する警告も表示します。
図 PowerPointプロセスコンテキストでPackager.dllの読み込みをブロックするようにEMETを構成します。 ASRの詳細については、
こちらをご覧ください 。
また、dllhost.exeプロセスのASRオプションをアクティブにすることをお勧めしますが、互換性の理由から、他のすべての不正利用設定をオフにする必要があります。 自動モードでは、これは特別な.xmlファイルを使用して実行できます。その内容は、この
リンクの回避策セクションにあります。
安全である。