В минувший вторник Microsoft выпустила большой набор патчей, в том числе заплатку для уязвимости в движках JScript и VBScript, которая уже эксплуатируется в дикой природе.

Брешь CVE-2016-0189 (нарушение целостности памяти) закрывает бюллетень MS16-053, однако пользователям также рекомендуется применить MS16-051, так как в качестве вектора атаки злоумышленники используют Internet Explorer. MS16-051 патчит IE 9, 10 и 11; MS16-053 предназначен для IE 7 и более ранних поддерживаемых версий этого браузера.

Кроме CVE-2016-0189 в JScript и VBScript также пропатчен еще один баг порчи памяти (CVE-2016-0187); по свидетельству разработчика, оба они открывают возможность для исполнения произвольного кода, если жертва, используя IE, зайдет на сайт с эксплойтом. Обе бреши вызваны некорректной обработкой объектов в памяти. Этим уязвимостям подвержены VBScript 5.7 на Windows Vista и Windows Server 2008, в том числе работающих в режиме ядра сервера (Server Core), а также JScript 5.8 и VBScript 5.8 на Windows Server 2008 R2 для 64-битных систем SP 1, но лишь при выбранной опции Server Core. В качестве временной защиты пользователи могут попросту ограничить доступ к VBScript.dll и JScript.dll.

В IE также закрыты еще три уязвимости, в том числе обход Device Guard, возможный из-за некорректной проверки целостности кода, которую выполняет компонент User Mode Code Integrity. Данная брешь позволяет атакующему выполнить неподписанный код, хотя в таких случаях обычно срабатывает блокировка. Остальные уязвимости — это отдельный экземпляр порчи памяти, грозящий исполнением произвольного кода, и раскрытие информации в результате неправильной обработки браузером разрешений на доступ к файлам. Последний баг позволяет атакующему добраться до содержимого файлов, сохраненных на скомпрометированной машине.

Из 17 майских бюллетеней восемь оценены как критические, в том числе бюллетень, касающийся уязвимостей во Flash Player (MS16-064); в этом продукте Microsoft совокупно закрыла две дюжины RCE-багов.

В браузере Edge (MS16-052) устранено четыре уязвимости. Три из них содержатся в JavaScript-движке Chakra, они публично не раскрывались и не эксплуатировались. Четвертая брешь вызвана неправильной обработкой объектов в памяти, что влечет нарушение целостности памяти и исполнение произвольного кода.

Внимания заслуживает также бюллетень MS16-054, посвященный Microsoft Office и закрывающий четыре уязвимости, чреватые удаленным исполнением кода. Примечательно, что одной из трех брешей порчи памяти, CVE-2016-0198, подвержены все версии Word, начиная с версии 2007. Для эксплойта атакующему придется убедить пользователя открыть вредоносный документ. Четвертая RCE-уязвимость вызвана некорректной обработкой некоторых внедренных шрифтов библиотекой Windows. Эксплойт возможен через веб или посредством отправки специально созданного файла по электронной почте или по IM-каналу.

Бюллетень MS16-056 устраняет критический RCE-баг в журнале Windows, актуальный для всех поддерживаемых версий ОС. Эксплойт возможен, если пользователь откроет вредоносный файл соответствующего формата в Windows Journal.

В графических компонентах Microsoft закрыла пять уязвимостей (MS16-055), в том числе три RCE в Windows Imaging, Direct3D и Windows GDI. Еще две бреши, обнаруженные в Windows GDI, грозят раскрытием информации.

Восьмой критический бюллетень, MS16-057, касается RCE-бреши в Windows Shell.

Остальные бюллетени помечены как важные:

  • MS16-058 — RCE-уязвимость в Windows IIS; для эксплуатации требуется локальный доступ;
  • MS16-059 — RCE в Windows Media Center; эксплойт возможен посредством ссылки на вредоносный файл .mcl;
  • MS16-060 — уязвимость в ядре Windows, эксплуатируемая с помощью предварительно установленного вредоносного приложения;
  • MS16-061 — повышение привилегий в Windows RPC, возможное при неправильно сформированном RPC-запросе к хост-машине;
  • MS16-062 — множественные уязвимости в драйверах режима ядра Windows, в том числе повышение привилегий при наличии локального доступа;
  • MS16-065 — раскрытие информации во фреймворке .NET; эксплойт возможен посредством инъекции в целевой защищенный канал с последующей MitM-атакой;
  • MS16-066 — обход режима Virtual Secure Mode, предусмотренного в Windows;
  • MS16-067 — раскрытие информации в Windows Volume Manager Driver; эксплойт возможен, если USB-устройство, подключенное поверх протокола RDP с помощью набора RemoteFX, неправильно настроено для сессии пользователя.

Категории: Главное, Уязвимости