В сентябрьском обновление Microsoft устранила 47 уязвимостей

11/09/2013 10:55

Вместо обещанных 14 бюллетеней безопасности, компания Microsoft выпустила 13 бюллетеней, устраняющих 47 уязвимостей в компонентах Outlook, Internet Explorer, SharePoint, Office, Windows и FrontPage. Исходя из предварительного анонса, пропущенный бюллетень безопасности имел статус "важного" и устранял возможность "отказа от обслуживания". Всего за 5 дней до выпуска пакета обновлений, Microsoft собиралась представить это обновление. Причины, по которым не вышел этот бюллетень, неизвестны, но отмена выпуска является демонстрацией недостаточного тестирования исправлений, выпускаемых компанией Microsoft. Среди допущенных к выпуску тринадцати бюллетеней, восемь позволяли удаленно выполнить произвольный программный код, три приводили к повышению привилегий пользователя, а еще по одному - могли стать причиной отказа от обслуживания и раскрытия данных. Критический статус имеют 4 обновления, а три из них носят высокий уровень угроз, что позволяет использовать их для автоматизированного распространения вредоносного программного обеспечения без участия пользователя. Описание критических угроз представлено в бюллетенях: MS13-067 (недостаточный контроль входных данных сервисом W3WP в SharePoint Server - CVE-2013-1330, а также другие менее критичные уязвимости), MS13-068 (ошибки Outlook при разборе S/MIME сообщений электронной почты - CVE-2013-3870) и MS13-069 (множественные уязвимости обработки веб-объектов, вызывающие повреждение памяти Internet Explorer). Заключительный критический бюллетень MS13-070 связан с ошибками обработки OLE-объетов средствами ОС Windows - уязвимость CVE-2013-3863. Для выполнения произвольного программного кода через эту уязвимость, пользователю необходимо открыть документ, содержащий специально сформированный OLE-объект. Похожие уязвимости описывается в "важных" бюллетенях MS13-072, MS13-073 и MS13-074, но здесь обработка производится компонентами Microsoft Office (Word, Excel и Access). В этих бюллетенях, стоит отметить универсальную уязвимость CVE-2013-3160, которая проявляется при разборе описательных XML-данных Office-документов. Авторами этой уязвимости являются российские эксперты из Positive Technologies. Последний способ выполнения произвольного кода описывается бюллетенем MS13-071. Причиной уязвимости CVE-2013-0810 стали ошибки при разборе файла тем оформления для ОС Windows версии 7, 8, RT и Server 2012. Уязвимости повышения привилегий были обнаружены при обработке китайских иероглифов средствами Microsoft Office 2010 (CVE-2013-3859) и множественных ошибок в драйвере ядра ОС Windows - "win32k.sys". Службы Lightweight Directory Access Protocol (LDAP) опять стали причиной уязвимости вызывающей "отказ от обслуживания", на этот раз, специально сформированный запрос мог послать любой анонимный пользователь (CVE-2013-3868). Еще одна ошибка (CVE-2013-3137) при разборе XML-заголовка средствами FrontPage обнаружена специалистами Positive Technologies. Благодаря этой уязвимости у злоумышленника появляется возможность просмотреть содержимое любого файла на сервере. Все обновления доступны через систему Автоматического обновления и на веб-сайтах компании Microsoft.
Подробности