USD 68 ЕВРО 76.76

Microsoft исправляет 23 уязвимости в Windows, Internet Explorer и Exchange

Экономика

Все версии ОС Windows и Internet Explorer, имеющие одну или более критические уязвимости, вчера получили исправления. Компонент Exchange, написанный Oracle, также исправлен, вдобавок выпущены не связанные с безопасностью обновления.

Логотип компании MicrosoftВчера Microsoft выпустила 8 бюллетеней безопасности, заявляющие об исправлении 23-х уязвимостей в Microsoft Windows, Internet Explorer и Exchange Server.

Первое обновление MS13-059 – кумулятивное обновление для Internet Explorer, и патчи для 11 отдельных уязвимостей, 9 из которых являются критическими для одной или нескольких платформ. Также выпущены 9 патчей для исправления критических уязвимостей повреждения памяти. Оставшиеся две, оцениваются как уязвимости средней степени критичности, позволяющие на некоторых платформах повысить уровень привилегий или раскрыть информацию.

MS13-060 (уязвимость в обработчике сценариев Unicode делает возможным удаленное выполнение кода) влияет только на Windows XP и Server 2003. «Эта уязвимость делает возможным удаленное выполнение кода, если пользователь просматривает специально созданный документ или веб-страницу с приложением, поддерживающим встроенные шрифты OpenType».

MS13-061 описывает 3 критические уязвимости во всех поддерживаемых в настоящее время версиях Exchange Server. Фактически, уязвимость заключается в наборе библиотек Oracle, называемом Outside In. Они помогают в просмотре документов пользователям Outlook Web Access в веб-браузере. Обновление устанавливает исправленные версии библиотек Oracle. Эти уязвимости уже были публично раскрыты, но Microsoft утверждает, что «вредноносный код будет трудно создать».

MS13-062 является единичной уязвимостью повышения привилегий, которая влияет на код удалённого вызова процедур (RPC) во всех версиях Windows, и классифицируется как Важная.

MS13-063 описывает 4 уязвимости, все оценены как Важные, затрагивающие большинство версий ОС Windows. Одна позволяет обходить ASLR — метод, используемый Windows, чтобы отражать множество атак. Другие 3 – уязвимости повреждения ядра, которые могут привести к расширению привилегий. Эти уязвимости уже были публично раскрыты. По непонятным причинам, Microsoft не предоставила рейтинг уязвимостей для обхода ASLR.

MS13-064 является единичной уязвимостью отказа в обслуживании в Windows Server 2012 NAT Driver. Специально созданный пакет ICMP может заставить службу перестать отвечать.

MS13-065 является единичной уязвимостью отказа в обслуживании в стеке IPv6 во всех версиях Windows, кроме XP и Server 2003. Эта уязвимость запускается также специально созданным ICMP пакетом.

MS13-066 является уязвимостью раскрытия информации в Active Directory Federation Services (AD FS) во всех Intel-основанных версиях Windows Server, кроме Server Core. По словам Microsoft: «… уязвимость, может выявить информацию, относящуюся к учетной записи службы, использующей AD FS. Злоумышленник может попытаться войти из-за пределов корпоративной сети, что приведет к блокировке учетной записи из-за службы, использующей AD FS, если были настроены политики блокировки. Это приведет к отказу в обслуживании для всех приложений, полагающихся на AD FS».

Microsoft также выпустила 3 не связанных с безопасностью обновления, а также ежемесячное Средство Удаления Вредноносных Программ и обновление корневых сертификатов.

Первое обновление для Windows 8 и RT «для улучшения функциональности защиты в Windows Defender». Второе для Windows 8, и RT Server 2012 «для разрешения вопросов в Windows». Третье, для всех текущих версий ОС Windows, а также «для разрешения вопросов в Windows».

Брайан Горенц, менеджер HP Security Research’s Zero Day Initiative, добавил такое наблюдение:

В сегодняшнем выпуске патчей, Microsoft продолжает исправлять слабые места, продемонстрированные исследователями на конкурсе HP Pwn2Own в начале этого года.
Одним из моментов, является исправление (CVE-2013-2556) существующей в ядре Windows уязвимости, которая может быть использована злоумышленниками для обхода системы смягчения операционной системы, такой как Address Space Layout Randomization (ASLR). Этот конкретный дефект возникает в результате прогнозируемого адреса структуры данных, что может быть использовано для утечки информации об адресах памяти.
Microsoft также укрепляет Internet Explorer sandbox, исправляя уязвимость обхода, продемонстрированную VUPEN Security на Pwn2Own. Эта уязвимость может быть использована злоумышленниками для выполнения кода вне sandbox.