Microsoft выпустила первые бюллетени безопасности в 2016 году


MicrosoftВо вторник, 12 января 2016 года, в первый "вторник исправлений" нынешнего года, корпорацией Microsoft было выпущено девять бюллетеней безопасности. В общей сложности Microsoft исправила в своих продуктах 24 уязвимости. Большинство из выявленных ошибок позволяют удаленному пользователю скомпрометировать целевую систему.

Для пользователей ОС Windows 8 и браузеров Internet Explorer 7, 8, 9 и 10 данные обновления безопасности стали последними. С 12 января 2015 года Microsoft полностью прекратила поддержку данных продуктов, а потому настоятельно рекомендует пользователям установить более новые версии. Также корпорацией был прекращен выпуск исправлений безопасности для ОС Windows XP Embedded – специальной версии Windows XP, которая использовалась в:

  • банкоматах;
  • PoS-терминалах;
  • прочих специализированных устройствах.


Бюллетень MS16-001 исправляет 2 уязвимости в Internet Explorer, которые позволяют выполнить произвольный код:

  • одна из ошибок (CVE-2016-0002) - вызвана неисправностью в движке VBScript и приводит к повреждению памяти, позволяя удаленному злоумышленнику скомпрометировать систему;
  • вторая проблема (CVE-2016-0005) - существует из-за некорректного обеспечения политики единого происхождения и позволяет повысить привилегии.


Основное условие для успешной эксплуатации обеих уязвимостей - это обязательный переход по специально сформированной ссылке, ведущей на вредоносный сайт.

Другой бюллетень MS16-002 описывает 2 ошибки в браузере Microsoft Edge:

  • одна из уязвимостей (CVE-2016-0003) - существует из-за некорректной обработки объектов в памяти и позволяет удаленному злоумышленнику скомпрометировать систему;
  • вторая ошибка (CVE-2016-0024) - вызвана неисправностью в JavaScript-движке Chakra, и также приводя к компрометации системы.


Как и в случае с Internet Explorer, успешная эксплуатация обеих уязвимостей требует перехода по специально сформированной ссылке, ведущей на вредоносный сайт.

В бюллетене MS16-003 сообщается об ошибке, описанной в MS16-001 (CVE-2016-0002), однако в данном случае уязвимость затрагивает скриптовый движок VBScript.

Одним из самых важных бюллетеней, выпущенных Microsoft, стал MS16-004. В данном документе описываются опасные уязвимости в Microsoft Office и ряде других продуктов. Бреши позволяют, в том числе, скомпрометировать систему и обойти ограничения безопасности. Ошибки также затрагивают Microsoft Office for Mac.

Следующие три бюллетеня (MS16-005, MS16-007 и MS16-008) описывают ряд ошибок в ОС Windows. При этом наиболее опасные уязвимости позволяют скомпрометировать систему, повысить привилегии и обойти ограничения ASLR.

Еще один бюллетень (MS16-006) исправил уязвимость в Microsoft Silverlight, которая позволяла скомпрометировать систему. А бюллетень (MS16-010) призван исправить 4 ошибки в Microsoft Exchange Server, позволяющие осуществить спуфинг-атаку в интерфейсе Outlook Web Access и перенаправить пользователя на вредоносный сайт.


Обновлено (14.01.2016 00:14)