Всего в продуктах компании было устранено 24 уязвимости.
Вечером во вторник, 12 января, компания Microsoft выпустила девять бюллетеней безопасности в рамках первого в нынешнем году «вторника исправлений». В общей сложности в продуктах компании было исправлено 24 уязвимости. Большинство ошибок позволяют удаленному пользователю скомпрометировать целевую систему.
Нынешние обновления безопасности стали последними для пользователей ОС Windows 8 и браузеров Internet Explorer 7, 8, 9 и 10. Microsoft прекратила поддержку данных продуктов и настоятельно рекомендует пользователям установить более новые версии. Компания также прекратила выпуск исправлений безопасности для ОС Windows XP Embedded – специальной версии Windows XP, используемой в банкоматах, PoS-терминалах и прочих специализированных устройствах.
В бюллетене MS16-001 описаны 2 уязвимости в Internet Explorer, позволяющие выполнить произвольный код. Одна из ошибок (CVE-2016-0002) вызвана неисправностью в движке VBScript и приводит к повреждению памяти, позволяя удаленному злоумышленнику скомпрометировать систему. Вторая проблема (CVE-2016-0005) существует из-за некорректного обеспечения политики единого происхождения и позволяет повысить привилегии. Успешная эксплуатация обеих уязвимостей требует перехода по специально сформированной ссылке, ведущей на вредоносный сайт.
Бюллетень MS16-002 описывает 2 ошибки в браузере Microsoft Edge. Одна из уязвимостей (CVE-2016-0003) существует из-за некорректной обработки объектов в памяти, позволяя удаленному злоумышленнику скомпрометировать систему. Вторая ошибка (CVE-2016-0024) вызвана неисправностью в JavaScript-движке Chakra, также приводя к компрометации системы. Как и в случае с Internet Explorer, успешная эксплуатация обеих уязвимостей требует перехода по специально сформированной ссылке, ведущей на вредоносный сайт.
В бюллетене MS16-003 сообщается об ошибке, также описанной в MS16-001 (CVE-2016-0002). В данном случае уязвимость затрагивает скриптовый движок VBScript.
Одним из самых важных бюллетеней, выпущенных вчера Microsoft, стал MS16-004 . В документе описываются опасные уязвимости в Microsoft Office и ряде других продуктов, позволяющие, в том числе, скомпрометировать систему и обойти ограничения безопасности. Ошибки также затрагивают Microsoft Office for Mac.
Три бюллетеня ( MS16-005 , MS16-007 и MS16-008 ) описывают ряд ошибок в ОС Windows. Наиболее опасные уязвимости позволяют скомпрометировать систему, повысить привилегии и обойти ограничения ASLR.
Microsoft также исправила уязвимость, позволяющую скомпрометировать систему в Microsoft Silverlight ( MS16-006 ), и 4 ошибки в Microsoft Exchange Server, позволяющие осуществить спуфинг-атаку в интерфейсе Outlook Web Access и перенаправить пользователя на вредоносный сайт ( MS16-010 ).
На перекрестке науки и фантазии — наш канал