Очередная отсрочка обновления Internet Explorer не состоялась: Microsoft скорректировала свои намерения и в последний момент пополнила февральский набор бюллетеней по безопасности еще двумя позициями, включив в том числе накопительный патч для IE.

Разработчик исправно латал свой веб-браузер около года, вплоть до января. На прошлой неделе в Центре обновления MS появился анонс, предваряющий очередной вторник патчей, который вновь разочаровал ревнителей безопасности IE. Однако их огорчение оказалось преждевременным: февральский набор был оперативно дополнен бюллетенем MS14-010, закрывающим 24 уязвимости в браузере, в том числе ранее опубликованную. Активных эксплойтов к этим брешам Microsoft пока не зафиксировала.

Все исправляемые ныне ошибки открывают возможность для удаленного выполнения кода и присутствуют во всех версиях Internet Explorer, от IE 6, работающего под Windows XP, до IE 11 под Windows 8.1. Более 20 таких уязвимостей связаны с повреждением памяти, прочие — с повышением привилегий, междоменным раскрытием информации и порчей памяти из-за некорректной работы VBScript. Последняя брешь закрывается в совокупности с обновлением MS14-011. Чтобы воспользоваться уязвимостью в VBScript, злоумышленник должен завлечь пользователя на заранее подготовленный веб-сайт — через ссылку в спам-письме или IM-сообщении.

«Выход семи бюллетеней вместо пяти наводит на мысль, что тестирование было завершено перед самым выпуском и они решили все-таки включить этот патч в набор, — высказывает предположение Тайлер Регьюли (Tyler Reguly), руководитель исследований Tripwire в области обеспечения безопасности. — Возможно также, что тестирование выявило какой-то огрех, который пофиксили в последнюю минуту. Как бы то ни было, патчи MS14-010 и MS14-011 надо сначала установить в тестовом режиме, а потом уже раздавать их по корпоративной сети».

Коллега Регьюли Крэг Янг (Craig Young) отметил, что злоумышленник может получить доступ к компьютеру, эксплуатируя сразу несколько уязвимостей в IE. «Атаки itw не прекратятся, это вне всяких сомнений, — говорит эксперт. — Под обстрел попадут и те уязвимости, которые закрывает сегодняшний выпуск».

Выполняя свое обещание, Microsoft также устранила чреватую выполнением произвольного кода брешь MS14-008 в защитном сервисе Forefront Protection для Exchange 2010. Разработчик пояснил, что удаляет уязвимый код из продукта. Microsoft перестала обновлять Forefront для Exchange с сентября 2012 года, однако не отказалась выпускать патчи в обеспечение безопасности этого приложения и будет раздавать их еще 1 год и 10 месяцев.

«Это заставит администраторов задуматься над апгрейдом своих Exchange-серверов до новейшей версии, имеющей дефолтную защиту от вирусов, — комментирует  Расс Эрнст (Russ Ernst) из Lumension. — Можно также заменить защитное приложение, обратившись к другому вендору. Администраторам Exchange, использующим Forefront Protection, нужно решить этот вопрос до декабря 2015 года».

Бюллетень MS14-007 исправляет критическую ошибку в Direct2D. Данная уязвимость открывает возможность для удаленного выполнения кода, если пользователь откроет в IE особым образом сформированную страницу. Direct2D — это графический API-интерфейс, который используется для отображения двухмерной геометрии, растровых изображений и текста. Обновление MS14-007 актуально для Windows версий с 7 по 8.1.

Три бюллетеня, расцененные как важные, вышли без изменений:

  • MS14-009 закрывает две ранее опубликованные уязвимости в фреймворке .NET, позволяющие проводить атаки с повышением привилегий;
  • MS14-005 исправляет ошибку в Microsoft XML Core Services, которая может привести к раскрытию информации при заходе на вредоносный сайт через IE;
  • MS14-006 устраняет известную возможность отказа в обслуживании, присутствующую в Windows 8, RT and Server 2012; чтобы ее использовать, атакующий должен направить на уязвимую мишень большое количество особых IPv6-пакетов, находясь при этом в одной подсети с жертвой.

Microsoft также начала официально раздавать апдейт, ограничивающий использование алгоритма хэширования MD5. Данное ограничение касается только сертификатов, выпущенных в рамках программы корневых сертификатов MS. «Сертификаты с MD5-хэшами больше не будут считаться доверенными, — поясняет Дастин Чайлдс (Dustin Childs), менеджер группы Microsoft Trustworthy Computing. — Мы дали клиентам полгода на подготовку среды, а теперь этот апдейт будет распространяться через механизм автоматического обновления».

Категории: Главное, Уязвимости