Январский набор обновлений от Microsoft содержит лишь девять бюллетеней, однако шесть из них помечены как критические, а семь брешей открывают возможность для удаленного исполнения кода. Это также последние патчи, которые получат пользователи Internet Explorer 8, 9 и 10.

Совокупно разработчик исправил 25 багов в разных продуктах, в том числе в Windows, Internet Explorer, Edge, Visual Basic и Silverlight. В случае эксплойта некоторые уязвимости, как уже было сказано, позволяют удаленно исполнить код, другие открывают возможность для повышения привилегий или подмены контента.

Одна из наиболее опасных брешей, MS16-005, присутствует в драйверах режима ядра Windows; она связана с некорректностью обработки объектов в памяти графическим интерфейсом, ее можно использовать для обхода ASLR. Эксплойт возможен, если атакующему удастся вынудить пользователя зайти на специально созданный сайт, открыть письмо-ловушку или загрузить вредоносный файл, выложенный в общий доступ.

Бюллетень MS16-004 устраняет пять уязвимостей в Microsoft Office. Две из них позволяют обойти средства защиты SharePoint при неправильных настройках политики контроля доступа (ACP). Еще две связаны с порчей памяти и открывают возможность для удаленного выполнения произвольного кода в контексте текущего пользователя, последняя провоцирует обход ASLR.

Критическая брешь в Silverlight (бюллетень MS16-006) чревата исполнением кода, если пользователь посетит скомпрометированный сайт, который содержит вредоносное приложение, созданное на основе этой устаревшей программной платформы. Ведущий эксперт «Лаборатории Касперского» Курт Баумгартнер (Kurt Baumgartner) считает этот баг «самым интересным и сопряженным с наибольшими рисками», так как ПО Silverlight работает на многих платформах, включая Apple.

Еще два критических бюллетеня адресованы пользователям браузеров Internet Explorer (MS16-001) и Edge (MS16-002). Патчи для IE, последние для версий 8, 9 и 10, закрывают брешь нарушения целостности памяти в движке VBScript и возможность повышения привилегий, которая привнесена некорректным применением кросс-доменных политик. В случае эксплойта первый баг позволяет атакующему исполнить произвольный код. Апдейт для Edge устраняет две уязвимости порчи памяти, одна из них была обнаружена в движке Chakra JavaScript, другая — в самом браузере.

Последний критический патч, MS16-003, применим к той же бреши в VBScript, которая ныне закрывается в Internet Explorer. Это накопительное обновление адресовано тем, кто не установил патч для IE, в особенности если они работают на Vista, Windows Server 2008 или используют режим Server Core в системе Windows Server 2008 R2.

Уязвимости, расцененные Microsoft как важные, некоторые эксперты сочли не менее опасными, чем критические. «Лично я бы уделил внимание MS16-010, — заявил Бобби Кузма (Bobby Kuzma), системный программист из Core Security. — Она оценена как важная, однако я знаю пользователей и их [плохое] поведение, мое паучье чутье трепещет от потенциальных возможностей».

Бюллетень MS16-10 устраняет четыре уязвимости в Exchange Server, чреватые подменой. Они привнесены некорректностью обработки веб-запросов в клиенте OWA и позволяют внедрить скрипт или контент, чтобы вынудить получателя письма раскрыть конфиденциальную информацию. По свидетельству Microsoft, атакующий также может с аналогичной целью направить пользователя на вредоносный сайт.

Патч для Exchange особо отметил и Крэг Янг (Craig Young) из Tripwire. «Администраторам OWA следует назначить MS16-10 самый высокий приоритет, — полагает исследователь. — Этот патч закрывает [четыре] уязвимости, которые могут повлечь значительные и прямые финансовые потери посредством так называемой компрометации деловой переписки (BEC). Возможность легализовать фишинговое письмо, представив его исходящим с внутреннего адреса, является большим преимуществом для злоумышленников».

Категории: Главное, Уязвимости