Завтра Microsoft выпустит 2 критических и 2 важных бюллетеня по безопасности, и это будет последний вторник патчей для давно устаревшей и неизменно проблемной операционной системы ХР.

Бюллетени со статусом «Критический» закроют уязвимости в Microsoft Office, Office Services и Office Web Apps, а также в Windows и Internet Explorer; все эти бреши открывают возможность для удаленного выполнения кода. Самой настоятельной из них, безусловно, является уязвимость нулевого дня в Microsoft Word (CVE-2014-1761). Она уже начала использоваться в целевых атаках, и до выхода патча разработчик выпустил соответствующий информационный бюллетень и новую версию Fix-it, которую рекомендовал как временную меру. Подготовив патч, Microsoft присвоила ему высший приоритет, хотя наблюдаемая техника эксплойта сложна и предполагает многокомпонентный подход.

«Это критическая уязвимость, которая делает возможным удаленное выполнение кода в том случае, если пользователь откроет специально созданный RTF-файл в Word 2010 или в Outlook, использующем Word для просмотра почтовых сообщений, — отметил, отвечая на вопросы Threatpost, директор по продукции Lumension Расс Эрнст (Russ Ernst). — Воспользовавшись этой уже эксплуатируемой уязвимостью, хакер может получить права текущего пользователя».

Второй бюллетень, по свидетельству Эрнста, является накопительным обновлением для IE, которое тоже расценивается как критическое и первоочередное для многих пользователей этого веб-браузера. «Администраторам придется спешно латать новые уязвимости параллельно с выполнением планов по замене ХР и Office 2003 по всей базе, — продолжает Эрнст. — Многие вдобавок еще не успели отреагировать на результаты очередного конкурса Pwn2Own, который раскрыл уязвимости во всех основных браузерах и в плагине Flash Player от Adobe». Другими словами, у «айтишников» сейчас горячее время, свои продукты фиксит не только Microsoft, но также Mozilla, Google и Apple.

Вольфганг Кандек из Qualys в интервью Threatpost отметил, что в текущем году объем ежемесячных патчей от Microsoft стал заметно скромнее. Так, с января по апрель компания выпустила лишь 20 бюллетеней против 36 за тот же период в прошлом году и 28 в 2012-м. «Непонятно почему, но бюллетеней вновь меньше обычного, — констатирует Кандек. — Наверное, Microsoft стала получать меньше отчетов об уязвимостях. По крайней мере, это единственное объяснение, которое я могу пока предложить. Нет причин полагать, что уязвимостей стало меньше. Не думаю также, что это свертывание исследований: охотников на баги хоть отбавляй. Может, просто мало кто готов работать бесплатно».

Похоже, эксперт недалек от истины, как бы горька она ни была. С одной стороны, Microsoft уже около года платит щедрые премии за обнаружение брешей в своих продуктах. С другой — продавцы эксплойтов, такие как Vupen и другие команды хакеров, предпочитают срывать джекпот на конкурсах вроде Pwn2Own, что для них более выгодно, чем прямое обращение к Microsoft.

Категории: Главное, Уязвимости