Microsoft: Выпущены бюллетени безопасности, закрывающие уязвимости в продуктах компании


MicrosoftВчера, во вторник, 8 марта 2016 года, в рамках "вторника исправлений", компания Microsoft выпустила 13 бюллетеней безопасности. Из них пять получили статус критических бюллетеней и призваны исправить уязвимости, позволяющие выполнить произвольный код на целевых системах.


К критическим бюллетеням отнеслись:

  • MS16-023 - бюллетень, исправляющий 13 уязвимостей в браузере Microsoft Internet Explorer. Все ошибки позволяют вызвать повреждение памяти и скомпрометировать систему. Бреши затрагивают Internet Explorer 9-11, включая Internet Explorer 11 для Windows 10. Эксплуатация уязвимости возможна в случае, если жертва перейдет на вредоносный сайт.
  • MS16-024 - пакет исправлений, закрывающий 11 уязвимостей в браузере Microsoft Edge для Windows 10. Большая часть из данных уязвимостей позволяет вызвать повреждение памяти и скомпрометировать систему. Одна ошибка существует из-за некорректной обработки политики Referral Policy, позволяя раскрыть историю посещенных web-страниц. Для эксплуатации жертве необходимо перейти на вредоносный сайт.

  • MS16-026 - бюллетень, исправляющий две уязвимости в библиотеке Windows Adobe Type Manager Library. Эксплуатация наиболее опасной ошибки позволяет выполнить произвольный код на целевой системе. Уязвимости существовали из-за некорректной обработки специально сформированных шрифтов OpenType и позволяли вызвать отказ в обслуживании. При этом, в Windows 8.1 и более старых версиях Windows система переставала отвечать на запросы, в Windows 10 происходило аварийное завершение работы приложения. Также брешь позволяла выполнить произвольный код. Основное условие для успешной эксплуатации - пользователю необходимо открыть документ с вредоносным шрифтом, либо перейти на web-страницу, использующую данный шрифт.

  • MS16-027 - пакет исправлений, закрывающий две уязвимости в Windows Media. Здесь ошибки позволяли выполнить произвольный код на целевой системе. Уязвимости существовали из-за некорректной обработки ресурсов в медиабиблиотеке.

  • MS16-028 - бюллетень исправляет две уязвимости в библиотеке Windows PDF Library. Ошибки позволили выполнить произвольный код на целевой системе. Обязательное условие - пользователь должен открыть вредоносный файл PDF.


К важным бюллетеням относятся:

  • MS16-029 - исправляет три уязвимости в Microsoft Office и Office Services and Web Apps. Брешь позволяет обойти ограничения безопасности и скомпрометировать систему. В исправление включена и новая версия Microsoft Word.

  • MS16-025 - устраняет ошибку, возникающую из-за некорректной обработки входных данных в Windows перед загрузкой определенных библиотек. Локальный пользователь может проэксплуатировать уязвимость, запустив вредоносное приложение. Эксплуатация бреши позволяет выполнить код в Windows.

  • MS16-030 - исправляет две ошибки в Windows OLE, возникающие из-за некорректной обработки входных данных и позволяющие скомпрометировать систему. Эксплуатация позволяет злоумышленнику выполнить код в системе.


Прочие важные бюллетени:

  • MS16-031 - повышение привилегий в Windows;
  • MS16-032 - повышение привилегий в Windows Secondary Logon Service;
  • MS16-033 - локальное повышение привилегий в Windows из-за ошибки в USB Mass Storage Class Driver;
  • MS16-034 - повышение привилегий в Windows Kernel-Mode Drivers;
  • MS16-035 - обход ограничений безопасности в .NET Framework.

Обновлено (09.03.2016 21:10)