Компания Microsoft выпустила октябрьское обновление безопасности из восьми бюллетеней, вместо обещанных девяти. Отсутствующий бюллетень должен был устранить возможность повышения привилегий через общие компоненты ОС Windows и Office. Выпущенные бюллетени устраняют 24 уязвимости в Microsoft Windows, Office, .NET Framework, .ASP.NET и Internet Explorer. Пять бюллетеней устраняют возможность выполнения произвольного программного кода, уязвимости трех (MS14-056, MS14-058, MS14-060) из них эксплуатировались в ходе целевых хакерских атак. Бюллетени MS14-056 и MS14-058 представляют собой накопительные обновления для веб-браузера Internet Explorer и модулей ядра ОС Windows, соответственно. Бюллетень MS14-060 устраняет уязвимость (CVE-2014-4114) в обработке OLE-объектов, которую специалисты компании iSight обнаружили в ходе анализа хакерской атаки на информационные системы энергетических и телекоммуникационных компаний Европы. По мнению аналитиков iSight, уязвимость CVE-2014-4114 использовалась русскоговорящими хакерами Sandworm Team для кибер-шпионажа в пользу России. Эксплоит этой уязвимости хорошо адаптирован для всех версий ОС Windows, однако для инфицирования системы требовалось открыть специально сформированный документ. В ходе атаки использовалась целевая рассылка по электронной почте сообщения, содержащего презентационный материал в формате PowerPoint. Подобная уязвимость (CVE-2014-4117), только в компонентах обработки файлов формата Word была устранена бюллетенем безопасности MS14-061. Еще одно накопительное обновление MS14-057 для библиотек функций .NET Framework исправляет сразу три опасные уязвимости: повышение привилегий через технологию ClickOnce (CVE-2014-4073), которая позволяет произвести любые действия в системе после установки легитимного приложения; выполнение произвольного программного кода в ходе разбора URI-запроса, содержащего иноязычные спецсимволы (CVE-2014-4121); обход механизмов ASLR-защиты памяти (CVE-2014-4122). Среди менее значимых устраняемых уязвимостей - повышение привилегий через службу "очереди сообщений" (Message Queuing (MSMQ)) в ОС Windows Server 2003 (CVE-2014-4971); и драйвер Windows FASTFAT для управления файловой системы FAT32 (CVE-2014-4115). Уязвимость CVE-2014-4115 позволяет получить полный контроль над уязвимыми ОС Windows Server 2003/2008 и Vista, всего лишь, подключив USB-накопитель со специально созданной файловой структурой. Заключительный бюллетень MS14-059 устраняет возможности проведения XSS-атак через веб-компоненты ASP.NET MVC (CVE-2014-4075). Все обновления доступны через систему Автоматического обновления ОС Windows и веб-сайты технической поддержки Microsoft.
Источник