Microsoft выпустила набор июньских обновлений безопасности

12/06/2012 21:46

Компания Microsoft выпустила набор июньских обновлений безопасности для ОС Windows, веб-браузера Internet Explorer, библиотек .NET Framework, а также корпоративной системы обмена мгновенными сообщениями Lync и системы планирования Dynamics AX. Набор обновлений состоит из 7 бюллетеней безопасности, описывающих устранение 25 уязвимостей. 4 бюллетеня безопасности закрывают уязвимости, использование которых может привести к удаленному выполнению произвольного программного кода, три из этих бюллетеней имеют статус критических, что говорит о возможности автоматизации этого процесса. Наиболее опасная критическая уязвимость CVE-2012-0173 была исправлена в реализации протокола Remote Desktop Protocol (RDP). Специально сформированный RDP-запрос мог быть использован для выполнения произвольного программного кода в ОС Windows Server 2003/2008 и Windows 7 SP1. Другие версии ОС также уязвимы, однако использование уязвимости приводит лишь к сбою в работе сервиса. Критический бюллетень безопасности MS12-037 представляет собой накопительное обновление для всех версий веб-браузера Internet Explorer. Бюллетень закрывает 13 уязвимостей, 9 из которых могут быть использованы для выполнения произвольного программного кода: CVE-2012-1523, CVE-2012-1874, CVE-2012-1875, CVE-2012-1876, CVE-2012-1877, CVE-2012-1878, CVE-2012-1879, CVE-2012-1880 и CVE-2012-1881. Кроме того, компания Microsoft зафиксировала в Интернет активное использование эксплойта уязвимости CVE-2012-1875. В библиотеке функций .NET Framework версии 2.0 и 4.0 исправлена критическая уязвимость CVE-2012-1855, связанная с некорректной обработкой WinForms-элементов. Уязвимость может использоваться для обхода Code Access Security (CAS) ограничений и выполнения произвольного кода через специально сформированное XBAP-приложение, размещаемое на веб-странице. Последний бюллетень MS12-039, устраняющий возможность выполнения произвольного программного кода, коснулся клиентского модуля системы обмена мгновенными сообщениями Microsoft Lync (ранее известной как Microsoft Communicator). Бюллетень устраняет 4 уязвимости, среди которых ошибки в обработке TrueType-шрифтов (CVE-2011-3402 и CVE-2012-0159), небезопасное использование внешней библиотеки (CVE-2012-1849) и ошибки фильтрации HTML-кода (CVE-2012-1858). Использование этих уязвимостей могло стать причиной выполнения вредоносного программного кода в Microsoft Lync 2010 и привести к раскрытию информации в Microsoft Communicator 2007 R2. Три оставшихся бюллетеня безопасности описывают возможности повышения привилегий через проведение XSS-атаки (CVE-2012-1857) на пользователей ERP-системы Microsoft Dynamics AX 2012, а также модули ядра ОС Windows - бюллетени MS12-041 и MS12-042. Бюллетень MS12-041 содержит описание 5 уязвимостей (CVE-2012-1864, CVE-2012-1865, CVE-2012-1866, CVE-2012-1867, CVE-2012-1868) в системных библиотеках ОС Windows всех версий, приводящих к повышению привилегий авторизованного в системе пользователя. Бюллетень MS12-042 устраняет две уязвимости (CVE-2012-0217 - API-функциях User Mode Scheduler (UMS) и CVE-2012-1515 - системе защиты BIOS ROM), с таким же типом угроз, но на этот раз в ядре ОС Windows версий XP SP3, Server 2003 SP2, 7 64-бит, Server 2008 R2 64-бит. Вне списка ежемесячных обновлений, компания Microsoft блокировала уязвимость CVE-2012-1889, широко используемую в Интернете при атаке на пользователей набора служб Microsoft XML Core Services 3.0, 4.0, 5.0 и 6.0. Уязвимость позволяла злоумышленникам выполнить произвольный программный код через веб-сайт, содержащий эксплоит уязвимости. Все обновления доступны через систему Автоматического обновления ОС Windows и веб-сайта Microsoft Download Center.
Источник