В октябрьский выпуск обновлений Microsoft планирует включить восемь патчей для Windows, .NET Framework, Office, Server, Silverlight и, что важнее всего, для Internet Explorer.

Четыре информационных бюллетеня помечены как критические, в том числе первый, который исправляет уязвимость нулевого дня, актуальную для всех версий IE. Эта опасная брешь была обнаружена около месяца назад, и после первых отчетов об itw-эксплойте Microsoft выпустила временный фикс, раздавая его через центр решений Fix It. Ныне разработчик подготовил полноценный патч, который будет автоматически загружен всем пользователям через штатный механизм обновлений.

Как пояснялось в опубликованной в середине сентября аннотации, данная уязвимость обусловлена способом, используемым IE «для получения доступа к удаленному или не выделенному должным образом объекту в памяти. Эта уязвимость может привести к повреждению памяти, что позволяет злоумышленнику выполнить произвольный код в контексте текущего пользователя в веб-браузере Internet Explorer».

Результаты утечки исходников 0-day-эксплойта для IE в Сеть не заставили себя долго ждать. День в день с выпуском соответствующего модуля Metasploit появились сообщения о трех целевых атаках с использованием этого эксплойта. Однако, невзирая на рост числа атак, Microsoft, по всей видимости, решила выпустить патч строго по регламенту.

Как бы то ни было, заплатка уже готова и, по некоторым оценкам, будет самой приоритетной во всем грядущем выпуске. «Пользователям следует как можно скорее установить этот патч», — заявил Лэмар Бейли (Lamar Bailey), руководитель исследований и разработок защитных решений компании Tripwire.

Остальные критические заплатки (бюллетени 2–4) исправят шесть разных ошибок в ОС Windows и актуальны для версий с XP по 8, а также для RT. Обновления для Microsoft Office (бюллетени 5–7) ликвидируют важные бреши в SharePoint, Excel и Word. Все закрываемые MS уязвимости делают возможным удаленное выполнение кода, кроме одной, последней: эта лазейка, обнаруженная в приложении Silverlight, чревата раскрытием информации.

Нельзя не заметить, что новые бюллетени безопасности от Microsoft будут выпущены в канун десятой годовщины инициативы вторничных патчей. Последовательная реализация этой программы уже вызвала, если верить Эндрю Стормсу, «большую волну изменений» в сфере информационной безопасности.

Категории: Главное, Уязвимости