В Microsoft ничего не знают о существующей на территории бывшего СССР традиции субботников, поэтому генеральную уборку в своих владениях, а точнее в коде Windows и Exchange, компания устраивает по вторникам. Ежемесячный «вторник обновлений» включает на сей раз важные заплатки в Internet Explorer, и это одно из трех критических обновлений, которое ожидается во вторник. Всего этих обновлений будет восемь.

В то время, как патчи IE получат основное внимание, IT-администраторы и менеджеры сетей должны быть осведомлены о критическом наборе исправлений для Microsoft Exchange Server 2013, а также 2010 и 2007, оба из которых получают пакет обновлений Service Pack 3.
Критические ошибки в IE, Exchange Server и Windows являются таковыми, поскольку допускают дистанционный запуск произвольного кода.
«Для всех платформ, для всех поддерживаемых версий Microsoft Exchange Server в зависимости от критических уязвимостей», – сказал исследователь безопасности компании Tripwire Крейг Янг, –  «если я правильно помню, в такое масштабное обновление мы видим впервые с февраля, когда выяснилось, что служба перекодировки, используемая для правильного отображения контента Outlook Web Access может быть использована для удаленного запуска постороннего кода. Серверы Exchange так или иначе подключены к интернету, поэтому необходимо срочно залатать это одной заплаткой».

MS13-012, выпущенный в феврале, закрыл уязвимости в Exchange WebReady Document Viewing. Если пользователь откроет вредоносный файл через OWA в браузере, то злоумышленник может удаленно запустить свой код на сервере Exchange либо обрушить его.
Росс Барретт, старший менеджер по разработке систем безопасности в Rapid7 заявил, что обновить Exchange необходимо всем крупным компаниям.

Internet Explorer, между тем, получит уже восьмое исправление только за этот год, в том числе, в январе был выпущен патч против эксплойтов, которые применялись в ряде крупномасштабных атак.

Третье критическое обновление, которое ожидается в августовский «вторник обновлений» устраняет уязвимости удаленного запуска кода в Windows XP и Windows Server 2003.
«Для многих организаций этот патч совсем некритичен, если они уже перешли на более новые версии Windows», – сказал Барретт.

Оставшиеся релизы получат рейтинг «важные» в зависимости от того, подвержены ли они внешним атакам. Все «важные» обновления исправляют уязвимости в Windows, два из них исправляют ошибки управления правами, два устраняют уязвимость, вызывающую отказ в обслуживании, и одно исправляет ошибку раскрытия информации.

Категории: Уязвимости