Новость дня: В Сеть утекла база данных 21 млн пользователей популярных VPN-сервисов

Январский апдейт от Microsoft закрыл шесть критических уязвимостей




Выпущенный в минувший вторник январский набор обновлений от Microsoft содержит лишь девять бюллетеней, однако шесть из них помечены как критические, а семь брешей открывают возможность для удаленного исполнения кода, сообщает “Лаборатория Касперского”. Это также последние патчи, которые получат пользователи Internet Explorer 8, 9 и 10.

Совокупно разработчик исправил 25 багов в разных продуктах, в том числе в Windows, Internet Explorer, Edge, Visual Basic и Silverlight. В случае эксплойта некоторые уязвимости, как уже было сказано, позволяют удаленно исполнить код, другие открывают возможность для повышения привилегий или подмены контента.

Одна из наиболее опасных брешей, MS16-005, присутствует в драйверах режима ядра Windows; она связана с некорректностью обработки объектов в памяти графическим интерфейсом, ее можно использовать для обхода ASLR. Эксплойт возможен, если атакующему удастся вынудить пользователя зайти на специально созданный сайт, открыть письмо-ловушку или загрузить вредоносный файл, выложенный в общий доступ.

Бюллетень MS16-004 устраняет пять уязвимостей в Microsoft Office. Две из них позволяют обойти средства защиты SharePoint при неправильных настройках политики контроля доступа (ACP). Еще две связаны с порчей памяти и открывают возможность для удаленного выполнения произвольного кода в контексте текущего пользователя, последняя провоцирует обход ASLR.

Критическая брешь в Silverlight (бюллетень MS16-006) чревата исполнением кода, если пользователь посетит скомпрометированный сайт, который содержит вредоносное приложение, созданное на основе этой устаревшей программной платформы. Ведущий эксперт “Лаборатории Касперского” Курт Баумгартнер (Kurt Baumgartner) считает этот баг “самым интересным и сопряженным с наибольшими рисками”, так как ПО Silverlight работает на многих платформах, включая Apple.

Еще два критических бюллетеня адресованы пользователям браузеров Internet Explorer (MS16-001) и Edge (MS16-002). Патчи для IE, последние для версий 8, 9 и 10, закрывают брешь нарушения целостности памяти в движке VBScript и возможность повышения привилегий, которая привнесена некорректным применением кросс-доменных политик. В случае эксплойта первый баг позволяет атакующему исполнить произвольный код. Апдейт для Edge устраняет две уязвимости порчи памяти, одна из них была обнаружена в движке Chakra JavaScript, другая — в самом браузере.

Последний критический патч, MS16-003, применим к той же бреши в VBScript, которая ныне закрывается в Internet Explorer. Это накопительное обновление адресовано тем, кто не установил патч для IE, в особенности если они работают на Vista, Windows Server 2008 или используют режим Server Core в системе Windows Server 2008 R2.

Уязвимости, расцененные Microsoft как важные, некоторые эксперты сочли не менее опасными, чем критические. “Лично я бы уделил внимание MS16-010, — заявил Бобби Кузма (Bobby Kuzma), системный программист из Core Security. — Она оценена как важная, однако я знаю пользователей и их [плохое] поведение, мое паучье чутье трепещет от потенциальных возможностей”.

Бюллетень MS16-10 устраняет четыре уязвимости в Exchange Server, чреватые подменой. Они привнесены некорректностью обработки веб-запросов в клиенте OWA и позволяют внедрить скрипт или контент, чтобы вынудить получателя письма раскрыть конфиденциальную информацию. По свидетельству Microsoft, атакующий также может с аналогичной целью направить пользователя на вредоносный сайт.

Патч для Exchange особо отметил и Крэг Янг (Craig Young) из Tripwire. “Администраторам OWA следует назначить MS16-10 самый высокий приоритет, — полагает исследователь. — Этот патч закрывает [четыре] уязвимости, которые могут повлечь значительные и прямые финансовые потери посредством так называемой компрометации деловой переписки (BEC). Возможность легализовать фишинговое письмо, представив его исходящим с внутреннего адреса, является большим преимуществом для злоумышленников”.

Автор: Softodrom.ru
Дата:
Новые статьи: Новости Windows
23.06.2020 18:39

Windows 7 внезапно получила обновление

Microsoft выпустила обновление для операционных систем Windows 7 и 8.1, устанавливающее новый браузер Edge на движке Chromium


27.02.2020 22:12

Microsoft запустила «горячую линию» об окончании поддержки Windows 7

По просьбам пользователей компания Microsoft открыла «горячую линию» для ответа на вопросы по поводу окончания поддержки Windows 7


27.01.2020 06:21

От Microsoft потребовали открыть исходный код Windows 7

Фонд свободного ПО объявил сбор подписей за открытие исходного кода операционной системы Windows 7


24.01.2020 15:26

МВД России отказывается от Windows

МВД России закупило компьютеры на отечественной операционной системе на общую сумму 1,4 млрд руб.


22.01.2020 03:04

Пользователей Windows 7 призвали переходить на Ubuntu

У миллионов пользователей Windows 7 после прекращения компанией Microsoft поддержки этой операционной системы появилось два пути, чтобы обезопасить себя и свои данные


Популярное: Новости Windows
23.01.2011 02:10

Доступен для загрузки Windows Small Business Server 2011

Появилась возможность скачать Windows Small Business Server 2011 Standard


25.03.2005 18:55

Microsoft тестирует новую программу автоматической загрузки обновлений

Софтверный гигант обкатывает универсальную программу обновления ПО, которая поможет пользователям Windows XP, Windows 2000 и Windows Server 2003 управлять поправками для ОС и приложений


08.08.2006 00:20

Как включить учетную запись администратора в Windows Vista

Microsoft спрятала доступ к учетной записи администратора в Vista, но ее довольно-таки просто включить, если знать, где искать


24.08.2018 18:06

Windows 95 стала доступна на современных компьютерах

Операционная система Windows 95 была представлена компанией Microsoft 24 августа 1995 года


23.07.2005 00:15

Microsoft определилась с названием новой операционной системы - Windows Vista

Longhorn остался в прошлом - Microsoft объявила о том, что ее новая операционная система будет называться Windows Vista, а также сообщила дату выхода первой бета-версии этой ОС


» Оставьте первым свой комментарий

Новости /
Новости Windows /
Январский апдейт от Microsoft закрыл шесть критических уязвимостей
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2021 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика