В минувший «вторник патчей» Microsoft выпустила 14 бюллетеней, половина из них оценены как критические. Совокупно разработчик закрыл 47 уязвимостей в Windows, Office, Exchange, Internet Explorer, Edge и Adobe Flash Player.

В числе прочих пропатчена брешь CVE-2016-0137, десять лет существовавшая в программах Microsoft Office, которые построены на движке Detours, реализующем технологию перехвата API-вызовов. Эта уязвимость, раскрытая минувшим летом на конференции Black Hat, была также обнаружена в ряде антивирусов, использующих Detours для мониторинга вредоносной активности. Исследователи из израильской компании enSilo доложили Microsoft о баге девять месяцев назад; на тот момент они полагали, что данная проблема затрагивает сотни тысяч пользователей.

Комментируя сентябрьский выпуск Microsoft, соучредитель и технический директор enSilo Уди Яво (Udi Yavo) подчеркнул, что, поскольку данная уязвимость присутствует в движке, встроенном в продукты, установка патча может оказаться весьма трудоемким процессом. «На предприятиях, где Detours интегрирован в тысячи продуктов, включая Microsoft Office, на патчинг может уйти три недели, если не больше, — предупреждает эксперт. — Кроме того, установку патча для этой уязвимости усложняет тот факт, что все продукты придется по очереди перекомпилировать». В помощь ИБ-службам компаний исследователи создали и выложили на GitHub инструмент Find a Detour, предназначенный для поиска уязвимого софта.

Накопительное обновление для IE (MS16-104) оценено как критическое для версий IE 9 и 11. Самые серьезные из уязвимостей этого набора позволяют захватить контроль над системой, если текущий пользователь вошел под учетной записью администратора. Microsoft также отметила, что брешь CVE-2016-3351 в IE, обнаруженная французским исследователем Kafeine и Бруксом Ли (Brooks Li) из Trend Micro, не была публично раскрыта, но уже эксплуатируется itw. По свидетельству Kafeine, эту 0-day использовала криминальная группа GooNky, а также AdGholas, инициатор недавней malvertising-кампании с элементами стеганографии.

Аналогичную уязвимость закрывает накопительное обновление для Edge (MS16105), также помеченное как критическое.

Три критические бреши в Exchange Server (MS16-108) настолько обескуражили Бобби Кузму (Bobby Kuzma), сертифицированного специалиста по ИБ, работающего в Core Security, что он, по собственному выражению, даже съежился, читая их описание. Эти уязвимости крылись в библиотеках Oracle Outside In, встроенных в Exchange Server, и открывали возможность для удаленного исполнения кода посредством отправки на сервер письма с вредоносным вложением. Патчи предназначены для Exchange выпусков 2007, 2010, 2013 и 2016.

Еще один критический бюллетень, MS16-106, посвящен графическому компоненту Windows и выпущен в развитие прежних обновлений MS16-098 и MS15-097. Соответствующие патчи корректируют обработку объектов в памяти драйверами режима ядра и GDI-интерфейсом.

Критическая уязвимость в механизме OLE Automation, который используется движком VBScript, позволяла удаленно исполнить код в том случае, если пользователя удастся заманить на вредоносный сайт. Microsoft предупреждает, что для полноты защиты следует установить не только заплатку, предложенную в рамках MS16-116, но также новое накопительное обновление для IE.

Патч для Silverlight оценен разработчиком как важный. Если пользователя убедить перейти на сайт, содержащий вредоносное приложение Silverlight, атакующий сможет удаленно исполнить код, воспользовавшись уязвимостью во фреймворке программы.

Бюллетень, посвященный Flash Player, аналогичен параллельному апдейту Adobe для этого продукта. Microsoft пропатчила Flash на Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 и Windows 10. По всей видимости, это последние плановые патчи для Flash, которые Microsoft до сих пор предлагала.

«Вторники патчей» также канут в Лету для Windows 7/8.1, Windows Server 2008 и Server 2012. Со следующего месяца компания планирует выпускать лишь накопительные обновления для этих версий ОС вместе с патчами для фреймворка .NET. Об этом было объявлено еще в прошлом месяце. Представитель разработчика Натан Мерсер (Nathan Mercer) тогда же подтвердил, что обновления для Service Stack и Adobe Flash в совокупный набор включаться не будут.

Решение о переходе к накопительной системе обновления было принято из соображений удобства и сокращения фрагментации. Тем не менее эксперты уже поставили под сомнение целесообразность этого шага, опасаясь, что новый порядок окажется губительным для устаревших, но критически важных бизнес-приложений. «Такое нарушение привычного порядка приведет к тому, что патчи будут применяться все реже и реже, так как компаниям необходимо поддерживать критичные приложения в работоспособном состоянии, иначе им просто придется уйти из бизнеса», — заявил в комментарии Threatpost Крис Гётль (Chris Goettl), менеджер по продукции в Shavlik Technologies.

Категории: Главное, Уязвимости