Вторник патчей выдался очень загруженным для Microsoft: опубликованные на этой неделе заплатки носят срочный и серьезный характер.

Опубликовано 14 бюллетеней, четыре из которых классифицированы как критические. Среди них патч, призванный закрыть серьезную уязвимость нулевого дня в механизме OLE, которая используется для проведения таргетированных атак. С этой целью злоумышленники рассылают по электронной почте специально созданные файлы MS Office. Это уже второй баг в OLE; после того как информация о нем была обнародована, Microsoft выпустила новую версию FixIt в качестве временной меры.

Уязвимость в OLE актуальна для всех поддерживаемых версий Windows и предполагает возможность удаленного исполнения кода на скомпрометированных машинах. Об этом баге стало известно после того, как компания iSIGHT Partners опубликовала отчет об активности хакерской APT-группировки Sandworm, которая эксплуатировала еще одну уязвимость в OLE для проведения целевых атак на правительственные организации и энергетические компании. OLE, или Object Linking and Embedding, — это технология связывания и внедрения объектов в документы и другие объекты.

Патч за номером MS14-064 закрывает обе уязвимости в OLE, CVE-2014-6332 и CVE-2014-6352. Первая из них связана с ненадлежащим доступом Internet Explorer к объектам, хранящимся в памяти. Вторая брешь вызвана некорректностью валидации использования памяти при осуществлении доступа к объекту OLE.

В качестве временной меры Microsoft рекомендует набор средств для предотвращения эксплуатации уязвимостей в ПО — Enhanced Mitigation Experience Toolkit (EMET). В минувший понедельник компания выпустила версию EMET 5.1, дополненную новыми средствами блокировки эксплойтов. Они решают проблему «состояния гонки» в компоненте принудительной рандомизации загрузки адресного пространства (Mandatory ASLR) и реализуют улучшенные функции предотвращения эксплуатации, направленные против известных техник обхода.

Самые важные апдейты EMET, однако, затрагивают проблемы совместимости с некоторыми распространенными приложениями, в том числе с Internet Explorer, Adobe Reader и Flash, а также Mozilla Firefox. Microsoft настойчиво рекомендует обновиться с EMET 5.0 до 5.1 до того, как применить очередные патчи.

«Если вы используете Internet Explorer 11 под Windows 7 или Windows 8.1, важно обновить EMET 5.0 до версии 5.1, так как возникли проблемы совместимости ноябрьских обновлений безопасности Internet Explorer и настройки безопасности EAF+, — говорится в информационном сообщении Microsoft. — Альтернативный вариант предполагает временное отключение EAF+ в EMET 5.0″.

Microsoft также выпустила накопительный пакет обновлений для IE, что уже стало традицией. Бюллетень за номером MS14-065 содержит патчи для 17 брешей, многие из которых позволяют удаленно исполнять код. Это обновление признано критическим для всех версий IE, начиная с шестой.

«Обновление безопасности призвано закрыть уязвимости, изменив способ, которым Internet Explorer обрабатывает объекты в памяти: добавлены новые инструменты валидации разрешений, что способствует корректной реализации ASLR во всех версиях Internet Explorer, подверженных уязвимости», — подчеркнули в Microsoft.

Microsoft также запатчила брешь удаленного исполнения кода в Microsoft Secure Channel (Schannel) — компоненте Windows, который отвечает за шифрование по протоколам SSL и TLS. MS14-066 исправляет способ обработки специально созданных пакетов в Schannel.

«Исправления, включенные в этот бюллетень, были разработаны после внутреннего аудита кода, в ходе которого команде Microsoft стало известно о ряде проблем доступа к памяти, существующих как в клиентских, так и в корпоративных окружениях, где используется Schannel, — заявил технический директор Qualys Вольфганг Кандек (Wolfgang Kandek). — Информация об обнаруженных уязвимостях не была опубликована в открытом доступе, так как они были выявлены внутри Microsoft. Эксперты компании предполагают, что написать код эксплойта будет сложно, но его появление — это лишь вопрос времени и ресурсов, поэтому мы настоятельно рекомендуем установить патч».

MS14-067 — еще один критический бюллетень. Уязвимость можно эксплуатировать, заставив пользователя зайти на сайт, специально созданный для проведения атак на Microsoft XML Core Services через IE. MSXML некорректно парсит XML-контент, компрометируя систему и позволяя удаленно исполнять код.

Патч MS14-069 исправляет баги в Microsoft Word 2007, которые позволяют удаленно исполнять код. Так как данные уязвимости присутствуют лишь в продуктах Office 2007, не могут эксплуатироваться удаленно и в автоматическом режиме, а также требуют участия пользователя, Microsoft присвоила патчу статус «умеренно критический».

«Основным элементом атаки является документ, специально созданный для использования уязвимости. Злоумышленники направляют пользователю этот документ или ссылку, используя техники социальной инженерии: присваивают файлу названия, кажущиеся совершенно легитимными, или же снабжают сообщение описанием, способным заинтересовать потенциальную жертву, — отметил Кандек. — Если вы используете более новые версии Microsoft Office, в вашей системе этого бага нет, но пользователи Office 2007 должны уделить этому бюллетеню особое внимание и как можно скорее установить патч».

Остальные бюллетени связаны с уязвимостями, классифицированными Microsoft как «бреши умеренной степени риска»:

  • MS14-070 — повышение привилегий в TCP/IP;
  • MS14-071 — повышение привилегий в Windows Audio Service;
  • MS14-072 — повышение привилегий во фреймворке .NET;
  • MS14-073 — повышение привилегий в SharePoint Foundation;
  • MS14-074 — обход безопасности в Remote Desktop Protocol;
  • MS14-076 — обход безопасности в Internet Information Services;
  • MS14-077 — утечка данных в Active Directory Federation Services;
  • MS14-078 — повышение привилегий в IME (для японского языка).

Категории: Главное, Уязвимости