Microsoft устранила критические уязвимости IE

В минувший вторник компания Microsoft выпустила 10 обновлений безопасности, которые устранили в общей сложности 33 уязвимости в продуктах компании, включая две критические.

Бюллетень MS13-037 устраняет 11 уязвимостей в Internet Explorer 6 и выше, в том числе для устройств на базе Windows 8 и Windows RT, о которых Microsoft было сообщено в частном порядке. Наиболее серьезные уязвимости позволяли хакерам устанавливать вредоносное ПО на ПК пользователей через специальным образом созданные веб-страницы. Microsoft говорит, что работа в режиме стандартного пользователя позволит смягчить потенциальный ущерб.

Бюллетень MS13-038 устраняет так называемую уязвимость "nuke" в Internet Explorer 8, которая была обнаружена ранее в этом месяце. Атаки с использованием данной уязвимости были направлены на Министерство труда и Министерства энергетики США, которое сосредоточено на тестирование и исследовании ядерного энергии. Сайты указанных ведомств перенаправляли посетителей на вредоносный сайт, загрущающий на их компьютеры троян PoisonIvy. Как сообщается, атаки осуществлены хакерской группировкой из Китая. Тогда Microsoft заявила в четверг, что не может гарантировать, что ошибка будет исправлена в рамках ближайшего цикла обновлений, хотя временное решение было выпущено в тот же день.

Остальные восемь уязвимостей имеют статус "важных" и позволяют атакующим перехватывать данные, а также повышать права пользователей и удаленно выполнять произвольный код на зараженных машинах.

MS130-039 затрагивает Windows 8, RT и Windows Server 2012, позволяя хакерам осуществлять DoS-атаки, отправив специально созданный HTTP-заголовок.

Между тем, MS13-040 может привести к спуфингу, если .NET-приложение получит специально созданный XML-файл. Microsoft предупреждает, что данная уязвимость с цифровыми подписями XML могут привести к тому, что хакеры получат доступ к endpoint-функциями, как если бы они являлись авторизованными пользователями.

MS13-046 затрагивает все версии Windows и устраняет уязвимость, позволяющую несанкционировано повысить права пользователя. В данном случае злоумышленнику требуется физический доступ к системе.

MS13-042, MS13-043 и MS13-044 относятся к Office 2003, 2007 и 2010. Office 2013 не подвержен этим уязвимостям, которые могут привести к установке вредоносных программ и раскрытию информации.

MS13-041 исправляет уязвимость в Lync, которая позволяет внедрить в систему вредоносные программы. В бюллетене Microsoft отмечает, что пользователю предлагается приглашение, ответив на которое он позволит злоумышленнику получить доступ к системе.

Наконец, MS13-045 связана с одним из компонентов Windows Essentials, а именно Windows Writer. Уязвимость может привести к раскрытию информации в случаях, когда пользователь открывает окно Writer с использованием специальным образом созданного URL.


Источник: http://www.zdnet.com
Перевод: Really Fenix