Компания Microsoft выпустила очередное ежемесячное обновление безопасности для ОС Windows, офисного пакета программ Office, веб-браузера Internet Explorer, системы управления контентом SharePoint, а также средств разработки Microsoft Expression Web и Visual Basic for Applications. В общей сложности опубликовано 9 бюллетеней безопасности, устраняющих 16 уязвимостей. 3 бюллетеня безопасности имеют критический уровень угроз и могут быть использованы злоумышленниками для автоматизированных атак. Еще 2 бюллетеня устраняют уязвимости выполнения произвольного программного кода через открытие специально сформированного документа, а остальные 4 бюллетеня - уязвимости повышения привилегий и раскрытия информации. Две закрытые критические уязвимости CVE-2012-1889 и CVE-2012-1854 в Microsoft XML Core Services (MSXML) и Visual Basic for Applications (VBA) соответственно, около месяца находятся на вооружение злоумышленников и активно используются в хакерских атаках. Накопительное обновление для веб-браузера Internet Explorer версии 9 устраняет две критические уязвимости (CVE-2012-1522 и CVE-2012-1524), которые эксплуатируют ошибки в управление объектами, вызывающие повреждение памяти и как следствие - выполнение произвольного программного кода. Другие версии Internet Explorer не содержат этих уязвимостей. Последняя критическая уязвимость CVE-2012-1891 была обнаружена в компонентах ActiveX Data Objects (ADO) службы Microsoft Data Access Components (MDAC). Причиной уязвимости стало отсутствие контроля размера кэша, что при открытии специально сформированного XML-документа вызывало переполнение кучи с последующим выполнением произвольного программного кода. Еще одна, интересная критическая уязвимость CVE-2012-0175, была устранена в компонентах Windows Shell всех версий ОС семейства Windows. Эта уязвимость позволяла выполнить произвольную команду оболочки через открытие файла или каталога со специально сформированным именем. Ошибки реализации протокола TLS стали причиной уязвимости CVE-2012-1870, позволяющей злоумышленникам получить доступ к защищенной информации через модификацию HTTP-заголовка. Оставшиеся 3 бюллетеня рассматривают возможность повышения привилегий на платформах Windows через функции обработки событий клавиатуры функциями драйвера ядра "win32k.sys" (CVE-2012-1890 и CVE-2012-1893), а также на платформах Mac из-за некорректно устанавливаемых прав доступа (CVE-2012-1894) на каталог Microsoft Office for Mac 2011. В компонентах Microsoft SharePoint было исправлено 6 различных уязвимостей, заключающихся в недостаточной проверке входных данных, позволяющих получить доступ к служебной информации и повысить привилегии. Помимо бюллетеней безопасности был обновлен ряд цифровых сертификатов (KB2728973) и выпущено FixIt-решение для критической уязвимости панели Windows Sidebar и гаджетах Windows (KB2719662) в ОС Windows Vista и 7. Все обновления доступны через систему Автоматического обновления и на веб-сайте Microsoft Download Center.
Подробности