Опубликовано в рубрике 
Кoмпaния oткaзaлaсь принимaть мeры, зaявив, чтo уязвимoсть нe сooтвeтствуeт устaнoвлeнным критeриям oпaснoсти.
Экспeрты кoмпaнии Check Point прoaнaлизирoвaли цепь пoпулярныx RDP-клиeнтoв (FreeRDP, rdesktop и встрoeнный в Windows RDP-клиeнт) и oбнaружили свышe двуx дeсяткoв уязвимoстeй, в тoм числe пoзвoляющиx выпoлнить адрес и скомпрометировать систему.
В частности, низко вырезанный клиент FreeRDP содержит в общей сложности полдюжины багов, причем пять изо них – уязвимости повреждения памяти, которые могут -побывать) использованы для удаленного выполнения стих на компьютере жертвы. В клиенте rdesktop, поставляемом в составе дистрибутивов Kali Linux, специалисты выявили девятнадцать уязвимостей, одиннадцать с них предоставляли возможность удаленного выполнения произвольного стих, передает интернет-издание Очерк.инфо со ссылкой нате internetua.com.
Хотя исследователи мало-: неграмотный нашли критические уязвимости в RDP-клиенте Windows, применение оказалось не без проблем. В частности, абонент и сервер используют один и оный же буфер обмена, в результате прикладывание может получать доступ и переменить данные в буфере на сервере и обратно. Исследователи описали два возможных сценария атаки.
«Вредоносный RDP-сервер может «подслушать» гидробуфер обмена клиента – это жизнедеятельность, а не баг. К примеру, давальщик локально копирует пароль администратора и нонче он есть у сервера […] Вредоносный RDP-сервер может преобразить содержимое буфера обмена, используемого клиентом, аж если клиент не запускает операцию «Списывать» в окне RDP. Если вы нажмете «Влепить» при активном подключении до RDP, вы будете уязвимы к атакам подобного рода», — пояснили эксперты.
Они равным образом опубликовали видео, в котором продемонстрировали, сиречь вредоносный сервер может убедить клиента сохранить вредоносный обложка в папке запуска Windows, некоторый автоматически будет исполняться около каждой загрузке ОС.
Специалисты проинформировали разработчиков уязвимых RDP-клиентов о проблемах в октябре минувшего годы. Команда FreeRDP устранила уязвимости в выпуске v2.0.0-rc4, а разработчики Rdesktop выпустили исправленную версию v1.8.4 в середине января текущего лета.
Читайте также: Microsoft добавила в Skype функцию размытия фона
При всем желании угодить моим критикам Microsoft признала наличие проблемы, кодла отказалась принимать меры, заявив, по какой причине уязвимость не соответствует установленным критериям опасности. Напомним, дотоль техногигант по той а причине оставил неисправленной слабость в Windows, которая при определенных условиях позволяла удаленно (воплотить код в контексте текущего пользователя.