Компания Microsoft выпустила декабрьское обновление безопасности, состоящее из 7 бюллетеней безопасности для Microsoft Windows, Internet Explorer (IE), Office и Exchange. В рамках обновления исправляется 24 уязвимости. Пять бюллетеней устраняют возможность выполнения произвольного программного кода, три из них имеют критический статус. Накопительное обновление MS14-080 для Internet Explorer устраняет 10 уязвимостей, среди которых наиболее опасными являются: CVE-2014-6374, CVE-2014-6369, CVE-2014-6363 и CVE-2014-6328. Уязвимость CVE-2014-6363, также получила отдельный критический бюллетень безопасности MS14-084, так как уязвимость содержится в функциях унифицированного скриптового механизма VBScript, который является одним из компонентов ОС Windows Vista, 7 и Server 2003/2008. Наибольшую опасность, эта уязвимость представляет клиентским системам, позволяя злоумышленникам получить полный контроль над уязвимой системой через специально инфицированную веб-страницу. Возможности (CVE-2014-6356 и CVE-2014-6357) выполнения произвольного кода через компоненты Microsoft Word и Microsoft Office Web Apps устраняет бюллетень безопасности MS14-081. Уязвимости (CVE-2014-6360, CVE-2014-6361 и CVE-2014-6364) компонентов офисных приложений также описываются "важными" бюллетенями MS14-082 и MS14-083. Использование уязвимостей позволяет произвести компрометацию системы через открытие вредоносного документа. Интересная уязвимость CVE-2014-6355 устранена в Microsoft Graphics Component, где благодаря ошибкам в обработке JPEG-файлов, злоумышленник может получить информацию о структуре памяти и обойти механизмы ASLR-защиты. Заключительный бюллетень MS14-075 затрагивает почтовую службу Exchange Server, устраняя 4 уязвимости, позволяющих выполнять различные действия от лица стороннего пользователя. В дополнение к названным бюллетеням безопасности, Microsoft перевыпустила бюллетени безопасности MS14-065 (накопительное обновление для Internet Explorer) и MS14-066 (выполнение произвольного программного кода через уязвимости Secure Channel (Schannel) - CVE-2014-6321). К тому же, свое обновление получил интерактивный плеер Adobe Flash Player для веб-браузера Internet Explorer. Все обновления доступны через службы поддержки компании Microsoft и Автоматическое обновление ОС Windows.
Источник