Августовское обновление безопасности Microsoft

13/08/2013 23:47

Компания Microsoft выпустила регулярное ежемесячное обновление безопасности для своих программных продуктов: Microsoft Windows, Internet Explorer и Exchange. Августовское обновление состоит из 8 бюллетеней безопасности, содержащих описание 23 уязвимостей. Пять бюллетеней носят статус "важных", а три других - "критичный". В списке "критичных" обновлений находится накопительное обновление MS13-059, предназначенное для всех версий веб-браузера Internet Explorer, оно устраняет 11 уязвимостей. Наименьшее число уязвимостей обнаружено в устаревших версиях Internet Explorer 6 и 7. Особый интерес представляет уязвимость CVE-2013-3186, позволяющая обойти систему безопасности Windows Integrity Mechanism и выполнить скрипт с повышенными привилегиями. Другие уязвимости вызывают повреждение памяти, среди них наибольшую опасность для пользователей представляют уязвимости: CVE-2013-3184, CVE-2013-3190 и CVE-2013-3199. Их использование позволяет выполнить произвольный программный код на большинстве современных конфигураций Internet Explorer. Ошибки в обработке японских иероглифов привели к возникновению уязвимости CVE-2013-3192, которую возможно использовать для XSS-атак. По мнению Microsoft, никакие из закрытых уязвимостей не использовались в атаках на пользователей Internet Explorer. Второе "критичное" обновление MS13-060 носит целенаправленный характер и исправляет уязвимость в Unicode Script Processor ("usp10.dll") - CVE-2013-3181. Целенаправленность определяется ни только конкретным уязвимым компонентом ядра и ограниченным набором уязвимых платформ (лишь Windows XP и Server 2003), но и необходимой поддержкой семитских языков. Уязвимость CVE-2013-3181 позволяла удаленно выполнить произвольный программный код. Заключительное критическое обновление MS13-061 связано с бизнес-приложением Microsoft Exchange и использованием сторонних программных компонентов компании Oracle, в которых разработчик недавно исправил несколько уязвимостей: CVE-2013-2393, CVE-2013-3776 и CVE-2013-3781. Два "важных" бюллетеня безопасности MS13-062 и MS13-063 устраняют возможности повышения привилегий через компоненты ОС Windows: Microsoft Remote Procedure Call (RPC) - CVE-2013-3175; NT Virtual DOS Machine (NTVDM) - CVE-2013-3196, CVE-2013-3197, CVE-2013-3198; Address Space Layout Randomization (ASLR) - CVE-2013-2556. Возможности вызвать отказ от обслуживания устранены в драйвере Windows NAT (CVE-2013-3182) платформы Windows Server 2012 и в модуле обработки ICMPv6 стека Windows TCP/IP (CVE-2013-3183) во всех версиях ОС Windows за исключением XP и Server 2003. Последний "важный" бюллетень безопасности MS13-066 описывает уязвимость CVE-2013-3185 в Active Directory Federation Services (AD FS), приводящую к раскрытию информации реквизитов доступа и блокировке аккаунта после их использования вне доверенной сети. Все обновления доступны на веб-сайте Microsoft и через систему Автоматического обновления. Кроме бюллетеней безопасности, Microsoft представила несколько информационных сообщений: KB2861855 - реализация технологии Network Level Authentication (NLA) в Remote Desktop Protocol; KB2862973 - анонс отмены поддержки MD5 подписей сертификатов Microsoft Root Certificate Program с февраля 2014 года.
Подробности