Microsoft: Первое обновление безопасности 2012 года

Zaplatka WindowsКомпания Microsoft представила первое в 2012 году обновление безопасности для своих продуктов - ОС Windows и Microsoft Anti-Cross Site Scripting (AntiXSS).

Представленное обновление содержит 7 бюллетеней безопасности, закрывающих 8 уязвимостей. Одна бюллетень (MS12-004) закрывает две критические уязвимости. Остальные шесть бюллетеней безопасности устраняют уязвимости, не представляющие критической опасности для пользователей, однако они могут быть использованы в составе многоуровневых хакерских атак.

  • Критическое обновление MS12-004 - закрывает сразу две уязвимости в мультимедиа расширение Windows Media:
    • Уязвимость CVE-2012-0003 связана с недостаточной проверкой входных данных библиотекой Windows Multimedia Library при обработке MIDI-файла, что позволяет злоумышленникам, используя специально сформированный файл этого типа, выполнить произвольный программный код и получить полный контроль над системой.

    • Уязвимость CVE-2012-0004 позволяет злоумышленникам выполнить произвольный программный код с правами текущего пользователя через ошибки в обработке медиа-файлов системным компонентом DirectShow. Этим уязвимостям в разной степени подвержены все ОС семейства Windows, но их использование наиболее критично для пользователей ОС Windows XP, Vista и Server 2003/2008. Наименее критично - ОС Windows 7 и Server 2008 R2.

  • Бюллетень безопасности MS12-007 закрывает уязвимость CVE-2012-0007 в библиотеках защиты от XSS-атак - AntiXSS Library V3.x и AntiXSS Library V4.0. Благодаря специально сформированному HTML-файлу или веб-странице, через эту уязвимость, злоумышленники могут произвести XSS-атаку, направленную на раскрытие информации пользователя.

  • Бюллетень MS12-006 устраняет уязвимость CVE-2011-3389 в Windows Secure Channel (SChannel), приводящей к возможности раскрытия пользовательской информации, передаваемой по HTTP-протоколу с использованием механизмов шифрования SSL 3.0 и TLS 1.0.

  • Бюллетень MS12-005 устраняет уязвимость CVE-2012-0013 в Windows Packager, позволяющей выполнить произвольный программный код с использованием ClickOnce-приложения, внедренного в файлы Microsoft Office.

  • Бюллетень MS12-003 закрывает уязвимость CVE-2012-0005, открывающей возможность повышения привилегий через Client/Server Run-time Subsystem (CSRSS).

  • Бюллетень MS12-001 устраняет уязвимость CVE-2012-0001, нарушающей работу механизма SafeSEH ядра ОС Windows (Ntdll.dll), обеспечивающего защиту памяти приложений, скомпилированных с использованием Microsoft Visual C++ .NET 2003.

  • Бюллетень безопасности MS12-002 закрывает в ОС Windows XP и Server 2003 уязвимость CVE-2012-0009, позволяющей вызвать открытие и выполнение произвольного файла из-за недостаточной проверки путей утилитой Windows Object Packager, обрабатывающей внедренные в исполняемый файл объекты.


Обновления доступны на веб-сайте компании Microsoft и через систему Автоматического обновления.


Обновлено (11.01.2012 03:39)