Последнее ежемесячное обновление от Microsoft представляет собой сравнительно небольшой набор патчей, которые еще нужно протестировать и применить. Главной новостью же становится отключение от поддержки ненадежного алгоритма RC4 по умолчанию.

В другом бюллетене с обновлениями фреймворка .NET, выпущенном еще в мае, Microsoft предупредила об отказе поддерживать уязвимый криптонабор RC4, а, согласно самому свежему бюллетеню, отключение поддержки RC4 распространяется на системы Windows 10, на которых работают приложения .NET Framework 3.5, а также на системы с установленным фреймворком .NET Framework 4.6 и приложениями .NET Framework 4.5/4.5.1/4.5.2.

Также обновление ознаменовало переход на протокол TLS 1.2.

Это своевременный шаг, учитывая, что вся отрасль отказывается от уязвимых алгоритмов шифрования. Например, одно из недавних исследований подтвердило, что атаки, предполагающие взлом алгоритма расчета хэшей SHA-1, могут появиться уже через несколько месяцев. Из-за постоянного повышения скорости обработки информации, а также из-за появления модификаций существующих атак ненадежное шифрование может сыграть на руку хакерам при проведении киберпреступных или шпионских операций.

Из опубликованных бюллетеней три являются критическими: кумулятивное обновление Internet Explorer и исправление уязвимостей удаленного исполнения кода в движках VBScript и JScript в Windows.

Бюллетень MS15-108 содержит патчи к четырем уязвимостям, ни одна из которых не была обнародована. По заверениям Microsoft, у компании нет сведений о наличии готовых эксплойтов.

Как подтвердили в Microsoft, злоумышленник может разместить эксплойт онлайн или посредством фишинговой рассылки распространить документ Word с вредоносным компонентом ActiveX, использующим рендерер Internet Explorer для перенаправления пользователя на вредоносный сайт.

Баги содержатся в ОС Vista, Windows Server 2008 и реализациях Server Core ОС Windows Server 2008 R2. В последнем обновлении содержатся патчи двух уязвимостей, связанных с повреждением памяти в scripting enginer, утечкой данных и обходом ASLR.

«Обновление закрывает уязвимости, исправляя метод, которым VBScript и JScript обрабатывают объекты в памяти, и должным образом реализуя защиту ASLR в уязвимых версиях VBScript», — говорится в бюллетене Microsoft.

«Учитывая, сколько уязвимостей в JScript и VBScript закрыто в этом месяце, Microsoft надо бы по умолчанию отключать использование этих технологий до тех пор, пока не станет возможным полный отказ от них, — говорит ИБ-специалист Core Security Бобби Кузма (Bobby Kuzma). — К сожалению, это никогда не случится, так как огромное количество крупных компаний и правительственных организаций все еще полагаются на эти технологии».

Microsoft также закрыла 14 брешей в Internet Explorer и две — в браузере Microsoft Edge для ОС Windows 10.

Большинство патчей IE закрывают уязвимости повреждения памяти, перечисленные в бюллетене MS15-106, а также несколько багов, связанных с повышением привилегий и утечкой данных. Один из багов, обнаруженных в IE, был обнародован компанией FireEye, но ни один из них не был замечен itw.

Бюллетень Microsoft Edge за номером MS15-107 имеет среднюю степень критичности. Патч закрывает уязвимость обхода XSS-фильтра, а также еще одну уязвимость утечки данных.

Оставшийся бюллетень решает проблему удаленного исполнения кода в Windows Shell.

«Имеющиеся уязвимости могли открыть хакерам возможность удаленного исполнения кода, если пользователь откроет специально созданный объект в панели инструментов Windows или попадет на созданную злоумышленником вредоносную страницу», — говорится в бюллетене MS15-109.

Оставшиеся уязвимости признаны «важными».

MS15-110 закрывает три уязвимости удаленного исполнения кода в Microsoft Office, каждая из которых связана с повреждением памяти. MS15-111 представляет собой обновление ядра Windows, которое закрывает пять брешей, в том числе три бага повышения привилегий, уязвимость повреждения памяти и возможность обхода Trusted Boot.

Категории: Главное, Уязвимости