Февральский набор обновлений от Microsoft обещает быть довольно скромным, однако примечательно, что выходит он в тот самый день, когда компания официально введет ограничения на использование сертификатов с MD5-хэшами.

О своих планах по отключению алгоритма хэширования MD5 для программы корневых сертификатов Microsoft объявила еще в августе и тогда же предоставила администраторам Windows возможность загрузить обновление для тестирования. В ближайший вторник оно начнет раздаваться через Центр обновления Microsoft, чтобы пользователи смогли «оценить влияние этого обновления и предпринять необходимые действия в своих средах».

По словам Microsoft, ограничение по MD5 распространяется лишь на корневые сертификаты, используемые для удостоверения подлинности серверов, подписи программных кодов и назначения временных меток. Разработчик также заверил, что не будет препятствовать прочим способам использования MD5, а также блокировать бинарники, подписанные ранее марта 2009 года.

В качестве общей рекомендации компании поощряют к переходу на более надежные алгоритмы, такие как SHA2 и более сильные. MD5, как и SHA1, давно доказал свою слабость против взломов. MD5 начали критиковать еще в середине 90-х, а случаи взлома хэшей перебором наблюдались еще в 2005 году.

Что касается плановых обновлений для системы безопасности, два из них расцениваются Microsoft как критические: они закрывают уязвимости, позволяющие удаленно выполнить произвольный код. Первый критический патч актуален для Windows 7, Windows Server 2008 R2, Windows 8/8.1, Windows Server 2012/2012 R2, а также для Windows RT и RT 8.1. Второй касается Microsoft Forefront Protection 2010 для Exchange Server. Трем бюллетеням присвоен статус «Важный»; они устраняют возможность повышения привилегий, раскрытия информации и отказа в обслуживании в Windows и .NET.

«Поскольку возможность удаленного выполнения кода существует в службе защиты периметра, такой как Forefront, должен признать, что заплатка для этой бреши имеет первостепенное значение, — комментирует Росс Баррет (Ross Barrett), старший менеджер по технике безопасности из Rapid7. — Вторая по значимости и по праву уязвимость — та, что сочтена критической для Windows 7 и более новых версий. Для трех остальных риск не столь велик, меньше, видимо, и вероятность эксплойта, который влечет раскрытие информации, отказ в обслуживании или повышение привилегий. Игнорировать их, конечно, не стоит, просто они не столь опасны, как критические, связанные с удаленным выполнением кода».

Высокую важность патча для Forefront подчеркнул и Тайлер Регьюли (Tyler Reguly), руководитель исследований Tripwire в области обеспечения безопасности: «Не думаю, что пользовательская база этого ПО велика, однако бреши, угрожающие безопасности почтового сервиса, могут быть очень опасны, особенно при современном количестве фишинговых и вредоносных рассылок».

Два «важных» бюллетеня касаются всех версий Windows, включая XP, третий актуален для Windows 8 и 8.1. Пользуясь случаем, еще раз напомним: поддержка ХР заканчивается 8 апреля.

Примечательно, что в февральском выпуске Microsoft не будет накопительного обновления для Internet Explorer, хотя скоро уже год, как разработчик регулярно обновляет свой браузер. «Обновления безопасности в этом месяце касаются преимущественно Windows, — констатирует Регьюли, — а патча для IE снова нет. При современных темпах обнаружения и латания брешей в браузерах задержки патчей для IE весьма досадны».

Категории: Главное, Уязвимости