Microsoft выпустила девять бюллетеней безопасности в рамках «вторника исправлений»

image

Теги: Microsoft, обновление, вторник обновлений, исправление

Всего в продуктах компании было устранено 24 уязвимости.

Вечером во вторник, 12 января, компания Microsoft выпустила девять бюллетеней безопасности в рамках первого в нынешнем году «вторника исправлений». В общей сложности в продуктах компании было исправлено 24 уязвимости. Большинство ошибок позволяют удаленному пользователю скомпрометировать целевую систему.

Нынешние обновления безопасности стали последними для пользователей ОС Windows 8 и браузеров Internet Explorer 7, 8, 9 и 10. Microsoft прекратила поддержку данных продуктов и настоятельно рекомендует пользователям установить более новые версии. Компания также прекратила выпуск исправлений безопасности для ОС Windows XP Embedded – специальной версии Windows XP, используемой в банкоматах, PoS-терминалах и прочих специализированных устройствах.

В бюллетене MS16-001 описаны 2 уязвимости в Internet Explorer, позволяющие выполнить произвольный код. Одна из ошибок (CVE-2016-0002) вызвана неисправностью в движке VBScript и приводит к повреждению памяти, позволяя удаленному злоумышленнику скомпрометировать систему. Вторая проблема (CVE-2016-0005) существует из-за некорректного обеспечения политики единого происхождения и позволяет повысить привилегии. Успешная эксплуатация обеих уязвимостей требует перехода по специально сформированной ссылке, ведущей на вредоносный сайт.

Бюллетень MS16-002 описывает 2 ошибки в браузере Microsoft Edge. Одна из уязвимостей (CVE-2016-0003) существует из-за некорректной обработки объектов в памяти, позволяя удаленному злоумышленнику скомпрометировать систему. Вторая ошибка (CVE-2016-0024) вызвана неисправностью в JavaScript-движке Chakra, также приводя к компрометации системы. Как и в случае с Internet Explorer, успешная эксплуатация обеих уязвимостей требует перехода по специально сформированной ссылке, ведущей на вредоносный сайт.

В бюллетене MS16-003 сообщается об ошибке, также описанной в MS16-001 (CVE-2016-0002). В данном случае уязвимость затрагивает скриптовый движок VBScript.

Одним из самых важных бюллетеней, выпущенных вчера Microsoft, стал MS16-004 . В документе описываются опасные уязвимости в Microsoft Office и ряде других продуктов, позволяющие, в том числе, скомпрометировать систему и обойти ограничения безопасности. Ошибки также затрагивают Microsoft Office for Mac.

Три бюллетеня ( MS16-005 , MS16-007 и MS16-008 ) описывают ряд ошибок в ОС Windows. Наиболее опасные уязвимости позволяют скомпрометировать систему, повысить привилегии и обойти ограничения ASLR.

Microsoft также исправила уязвимость, позволяющую скомпрометировать систему в Microsoft Silverlight ( MS16-006 ), и 4 ошибки в Microsoft Exchange Server, позволяющие осуществить спуфинг-атаку в интерфейсе Outlook Web Access и перенаправить пользователя на вредоносный сайт ( MS16-010 ).

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.