Февральский набор патчей от Microsoft включает 13 бюллетеней; шесть из них разработчик оценил как критические, хотя атак itw на соответствующие уязвимости пока не зафиксировано. Особого внимания заслуживает патч для RCE-бреши в журнале Windows, актуальной для всех поддерживаемых версий ОС, как клиентских, так и серверных.

В соответствующем бюллетене (MS16-013) отмечено, что данная уязвимость позволяет удаленно исполнить код в контексте текущего пользователя. Таким образом, последствия эксплойта будут серьезнее для тех, кто работает на Windows с правами администратора: в этом случае атакующий сможет устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые полноправные аккаунты. Эксплойт осуществляется через порчу памяти и возможен, если законный пользователь откроет специально созданный файл Windows Journal.

Данной уязвимости подвержены все версии клиентской ОС, от Vista до Windows 10, а также все серверные Windows, в том числе Windows Server Technical Preview 4. Microsoft при этом подчеркнула, что на серверных ОС приложение Windows Journal не устанавливается по умолчанию, оно становится доступным лишь при включенной функции Desktop Experience (на Windows Server 2008) или Ink and Handwriting Services (на Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2).

Накопительные обновления для Internet Explorer версий 9–11 (MS16-009) и Edge (MS16-011) закрывают в числе прочих уязвимости, позволяющие удаленно исполнить код. Чтобы использовать эти RCE-баги, атакующий должен убедить пользователя просмотреть вредоносный контент, заманив его на свой сайт или послав ему особое email/IM-сообщение; при успешном эксплойте злоумышленник получает возможность хозяйничать в системе от имени текущего пользователя. Эти критические уязвимости вызваны некорректным доступом к объектам в памяти.

Бюллетень MS16-012 исправляет ошибки в Windows, чреватые удаленным выполнением кода с правами текущего пользователя, если тот откроет вредоносный pdf-файл в Windows Reader. Эти крайне опасные уязвимости актуальны для Windows 8.1, Windows 10, Windows Server 2012 и 2012 R2, в том числе работающих в режиме Server Core. Разработчик устранил эти бреши, улучшив обработку вызовов API в Windows PDF Library и парсинг файлов в Windows Reader.

Множественные RCE-уязвимости в Microsoft Office (MS16-015) привнесены неправильной обработкой объектов в памяти. Эксплойт возможен, если пользователь откроет вредоносный файл, присланный в письме или размещенный на сайте. Эти бреши особо опасны для Microsoft Word 2007 SP 3, 2010 SP 2 (32- и 64-битной), 2013 (RT) SP 1, Microsoft Word 2016, а также для Mac-версий этой программы. Патчи для последних Microsoft пока не выпустила и рекомендует пользователям следить за обновлением данного бюллетеня.

На Windows 8.1 и выше, а также Windows Server 2012 (R2) пропатчены более 20 критических уязвимостей в библиотеках Adobe Flash (MS16-022) — те же, которые параллельно закрыл сам разработчик. Эксплуатация возможна, если пользователь перейдет на вредоносный сайт в Internet Explorer или откроет присланное по почте специально сформированное вложение.

Остальным бюллетеням присвоен статус «важный»; они устраняют повышение привилегий в клиенте WebDAV, драйвере дисплея RDP, драйверах ядра Windows, а также отказ в обслуживании во фреймворке .NET, службах ADFS (федерации) и NPS (политики сети). Наконец, в Windows исправлен еще один, менее опасный баг RCE, его эксплойт возможен, если атакующему удалось войти в целевую систему и запустить вредоносное приложение.

Категории: Главное, Уязвимости