Во вторник, 11 марта, компания Microsoft выпустила очередной пакет обновления безопасности, состоящий из 5 бюллетеней, описывающих устранение 23 уязвимостей в Microsoft Windows, Internet Explorer и Silverlight. Два бюллетеня безопасности носят статус "критических", их уязвимости могут быть использованы для выполнения произвольного программного кода через веб-браузер Internet Explorer (CVE-2014-0324) и компоненты библиотеки DirectShow (CVE-2014-0301). Кроме используемой в атаках уязвимости CVE-2014-0324, бюллетень MS14-012 устраняет еще 17 ошибок в Internet Explorer, вызывающих повреждение памяти приложения. Не менее опасная уязвимость CVE-2014-0319 в компонентах Silverlight позволяет обойти DEP/ASLR-защиту, что делает её привлекательной для использования в многоуровневых хакерских атаках. Для получения полного контроля над уязвимой системой, хакерам также может помочь информация об объектах в памяти ОС, полученная через уязвимость CVE-2014-0323 модуля ядра, а также возможность повышения привилегий CVE-2014-0300, с использованием тех же компонентов. Заключительный бюллетень MS14-016 устраняет ошибки в реализации протокола Security Account Manager Remote (SAMR), позволяющих произвести подбор пароля к аккаунту пользователя системы (CVE-2014-0317). Все обновления доступны на веб-сайтах поддержки компании Microsoft и через систему Автоматического обновления.
Подробности