Компания Microsoft выпустила октябрьский пакет обновлений для Windows, Internet Explorer, .NET Framework, Silverlight, Office и SharePoint Server. В его состав вошло 8 бюллетеней, описывающих исправления 26 различных уязвимостей. Половина бюллетеней носит критических характер, остальные - "важный". Два бюллетеня устраняют уязвимости, которые были обнаружены в ходе анализа целевых хакерских атак. В их числе: уязвимость веб-браузера Internet Explorer - CVE-2013-3893; а также уязвимость библиотеки функций .NET Framework - CVE-2013-3861 (ошибки при обработке JSON-данных, вызывающие отказ от обслуживания). Как и предполагалось, накопительное обновление MS13-080 для веб-браузера Internet Explorer, кроме уязвимости CVE-2013-3893 исправляет еще девять подобных - удаленно вызывающих выполнение произвольного программного кода, через повреждение памяти при некорректной работе с объектами. Между тем, накопительное обновление MS13-082 для .NET Framework носит критический статус из-за кросскомпонентной уязвимости CVE-2013-3128, связанной с разбором OpenType-шрифтов. Эта уязвимость содержится не только в библиотеках .NET Framework, но и в модуле ядра ОС Windows, что позволяет локальному пользователю повысить свои привилегии в системе. При этом накопительное обновление MS13-081 для драйверов ядра ОС Windows содержит еще ряд интересных уязвимостей, среди которых: CVE-2013-3200 - позволяющая повысить привилегии через драйвер USB-устройств; CVE-2013-3894 - выполнение произвольного программного кода через ошибки в разборе CMAP-таблицы TrueType-шрифтов. Напомним, что большинство ранее обнаруженных троянов, признанных кибер-оружием, проникали в защищенные системы используя специально сформированный файл шрифтов, предположительно загружаемый через USB-накопитель. Учитывая этот факт и то, что имя и псевдоним автора кросскомпонентной уязвимости CVE-2013-3128 не указаны в бюллетене, исследователи предполагают связь этих уязвимостей с кибер-атаками, ранее осуществленных со стороны США. Заключительное критическое обновление MS13-083 устраняет возможность выполнения произвольного программного кода (CVE-2013-3195) через ошибки библиотеки "Comctl32.dll" в функциях реализации программного интерфейса ASP.NET-приложений. Среди четырех "важных" бюллетеней октябрьского пакета обновлений, три - позволяют удаленно выполнить произвольный программный код через компоненты Microsoft Office: Excel (CVE-2013-3889 и CVE-2013-3890) и Word (CVE-2013-3891 и CVE-2013-3892); а также компоненты SharePoint Server 2007 (CVE-2013-3895). Заключительное обновление MS13-087 для Microsoft Silverlight 5 устраняет возможность раскрытия системной информации (CVE-2013-3896). Все обновления доступны на веб-сайтах технической поддержки Microsoft и через систему Автоматического обновления ОС Windows.
Источник