Компания Microsoft выпустила очередное ежемесячное обновление безопасности для своих программных продуктов - Windows, Internet Explorer, .NET Framework, Microsoft Office и ряда других. Обновление по праву можно назвать критическим, поскольку из 6 бюллетеней безопасности 4 имеют статус "критических". "Критический" бюллетень MS12-023 представляет собой накопительное обновление для всех версий веб-браузера Internet Explorer, закрывающее 5 уязвимостей (CVE-2012-0168, CVE-2012-0169, CVE-2012-0170, CVE-2012-0171, CVE-2012-0172). Наиболее опасной среди этих уязвимостей является CVE-2012-0171, которая практически на всех вариантах ОС Windows и любой версии Internet Explorer позволяет злоумышленнику удаленно выполнить произвольный программный код с целью получения полного контроля над системой. Причиной уязвимости стала возможность вызова запроса ранее удаленных элементов обработчиком SelectAll. Не менее опасная уязвимость CVE-2012-0172, касается ошибок в обработке стилей VML-объектов. Ошибки функции WinVerifyTrust при проверке подписи PE-файлов привели к появлению уязвимости CVE-2012-0151 и бюллетеня безопасности MS12-024, устраняющего эту уязвимость во всех вариантах ОС Windows. Если все предыдущие "критические" уязвимости могли быть использованы для заражения персональных компьютеров в процессе веб-серфинга, то следующая уязвимость CVE-2012-0163, описываемая бюллетенем MS12-025, позволяет злоумышленнику получить полный контроль над сервером под управлением ОС Windows через специально сформированное ASP.NET приложение, позволяющее обойти пользовательские ограничения и нанести вред ресурсам сервера. Заключительная "критическая" уязвимость CVE-2012-0158 была обнаружена в функциях ActiveX-элементов MSCOMCTL.TreeView, MSCOMCTL.ListView2, MSCOMCTL.TreeView2 и MSCOMCTL.ListView; используемых в Microsoft Office, SQL Server 2000, BizTalk Server, Commerce Server, Visual FoxPro и библиотеках Visual Basic 6.0. Два оставшихся бюллетеня безопасности MS12-026 и MS12-028 носят "важный" характер. Бюллетень MS12-028 устраняет уязвимость CVE-2012-0177, обнаруженную в функциях WPS-конвертера Microsoft Office 2007 SP2 и Microsoft Works. Данная уязвимость также может быть использована для выполнения произвольного программного кода через открытие специально сформированного файла. Бюллетень MS12-026 устраняет сразу две уязвимости CVE-2012-0146 и CVE-2012-0147 в системе обеспечения удаленного доступа Forefront Unified Access Gateway (UAG). Закрываемые уязвимости приводили к раскрытию информации об инфраструктуре системы. Все обновления доступны на веб-сайтах компании Microsoft и через систему Автоматического обновления.
Источник