Январский апдейт от Microsoft закрыл шесть критических уязвимостей




Выпущенный в минувший вторник январский набор обновлений от Microsoft содержит лишь девять бюллетеней, однако шесть из них помечены как критические, а семь брешей открывают возможность для удаленного исполнения кода, сообщает “Лаборатория Касперского”. Это также последние патчи, которые получат пользователи Internet Explorer 8, 9 и 10.

Совокупно разработчик исправил 25 багов в разных продуктах, в том числе в Windows, Internet Explorer, Edge, Visual Basic и Silverlight. В случае эксплойта некоторые уязвимости, как уже было сказано, позволяют удаленно исполнить код, другие открывают возможность для повышения привилегий или подмены контента.

Одна из наиболее опасных брешей, MS16-005, присутствует в драйверах режима ядра Windows; она связана с некорректностью обработки объектов в памяти графическим интерфейсом, ее можно использовать для обхода ASLR. Эксплойт возможен, если атакующему удастся вынудить пользователя зайти на специально созданный сайт, открыть письмо-ловушку или загрузить вредоносный файл, выложенный в общий доступ.

Бюллетень MS16-004 устраняет пять уязвимостей в Microsoft Office. Две из них позволяют обойти средства защиты SharePoint при неправильных настройках политики контроля доступа (ACP). Еще две связаны с порчей памяти и открывают возможность для удаленного выполнения произвольного кода в контексте текущего пользователя, последняя провоцирует обход ASLR.

Критическая брешь в Silverlight (бюллетень MS16-006) чревата исполнением кода, если пользователь посетит скомпрометированный сайт, который содержит вредоносное приложение, созданное на основе этой устаревшей программной платформы. Ведущий эксперт “Лаборатории Касперского” Курт Баумгартнер (Kurt Baumgartner) считает этот баг “самым интересным и сопряженным с наибольшими рисками”, так как ПО Silverlight работает на многих платформах, включая Apple.

Еще два критических бюллетеня адресованы пользователям браузеров Internet Explorer (MS16-001) и Edge (MS16-002). Патчи для IE, последние для версий 8, 9 и 10, закрывают брешь нарушения целостности памяти в движке VBScript и возможность повышения привилегий, которая привнесена некорректным применением кросс-доменных политик. В случае эксплойта первый баг позволяет атакующему исполнить произвольный код. Апдейт для Edge устраняет две уязвимости порчи памяти, одна из них была обнаружена в движке Chakra JavaScript, другая — в самом браузере.

Последний критический патч, MS16-003, применим к той же бреши в VBScript, которая ныне закрывается в Internet Explorer. Это накопительное обновление адресовано тем, кто не установил патч для IE, в особенности если они работают на Vista, Windows Server 2008 или используют режим Server Core в системе Windows Server 2008 R2.

Уязвимости, расцененные Microsoft как важные, некоторые эксперты сочли не менее опасными, чем критические. “Лично я бы уделил внимание MS16-010, — заявил Бобби Кузма (Bobby Kuzma), системный программист из Core Security. — Она оценена как важная, однако я знаю пользователей и их [плохое] поведение, мое паучье чутье трепещет от потенциальных возможностей”.

Бюллетень MS16-10 устраняет четыре уязвимости в Exchange Server, чреватые подменой. Они привнесены некорректностью обработки веб-запросов в клиенте OWA и позволяют внедрить скрипт или контент, чтобы вынудить получателя письма раскрыть конфиденциальную информацию. По свидетельству Microsoft, атакующий также может с аналогичной целью направить пользователя на вредоносный сайт.

Патч для Exchange особо отметил и Крэг Янг (Craig Young) из Tripwire. “Администраторам OWA следует назначить MS16-10 самый высокий приоритет, — полагает исследователь. — Этот патч закрывает [четыре] уязвимости, которые могут повлечь значительные и прямые финансовые потери посредством так называемой компрометации деловой переписки (BEC). Возможность легализовать фишинговое письмо, представив его исходящим с внутреннего адреса, является большим преимуществом для злоумышленников”.

Автор: Softodrom.ru
Дата:


» Оставьте первым свой комментарий


Новости > Новости Windows > Январский апдейт от Microsoft закрыл шесть критических уязвимостей
Все рубрики статей:
Топ-сегодня: Новости Windows
DirectX 10 на Windows XP - реальность?
19-летний программист Коди Брошос выпустил превью-версию набора библиотек, обеспечивающих совместимость DirectX 10 c Windows XP
Microsoft прекращает поддержку Windows XP
Microsoft обьявила о прекращении поддержки операционной системы Windows XP
Конфигурируем Windows XP под двухядерные системы
По-видимому, Windows XP2 автоматически не распознает, на каком процессоре - двухядерном или нет - она устанавливается, так что настройка должна быть сделана вручную
Почему Windows так и не стала лидирующей мобильной платформой
Бывший сотрудник Microsoft рассказал о причинах, по которым компания потерпела поражение в войне мобильных платформ, а Apple и Google стали новыми мировыми лидерами
Microsoft откажется от названия Windows?
Windows Blue улучшит совместимость с семи- и восьмидюймовыми устройствами
Новые статьи: Новости Windows
Microsoft выпустила Windows Server 2019 Insider Preview Build 17666
Участникам программы предварительного тестирования Windows стала доступна новая сборка Windows Server 2019
Windows Defender ATP доступен для Windows 7 и Windows 8.1
Microsoft хочет помочь пользователям обеспечить максимальную безопасность вплоть до прекращения поддержки Windows 7 в январе 2020 года
Microsoft отказалась от выводящего компьютеры из строя обновления
Компания Microsoft прекратила распространение обновления для операционных систем Windows 7, 8 и 10, которое привело к выходу компьютеров из строя
Минобороны России решило отказаться от Windows
Сейчас большинство органов госвласти работают на Windows. Помимо того, что это импортное программное обеспечение, оно еще и небезопасное
В защите Windows обнаружена уязвимость, позволяющая захватить управление системой
Компьютерная команда экстренной готовности США (US-CERT) заявила о наличии уязвимости в реализации технологии ASLR в Windows

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».