Компания Microsoft выпустила 8 бюллетеней по безопасности, закрыв 19 уязвимостей в Windows, Internet Explorer, Office и некоторых других продуктах. Трем из них присвоен статус «критические», остальные означены как «существенные».

Один из «критических» бюллетеней касается бреши нулевого дня, позволившей злоумышленникам провести атаку типа «хищник у водопоя» (watering hole) на прописанную в США некоммерческую организацию. Эту уязвимость закрывает MS13-090, накопительное обновление для битов аннулирования ActiveX. Пущенная в оборот критическая ошибка, присутствующая в элементе ActiveX класса InformationCardSigninHelper, делает возможным удаленное выполнение кода, если пользователь откроет специально созданную веб-страницу в браузере Internet Explorer. Как всегда, больше рискуют те пользователи, которые работают с правами администратора.

Разработчик пока не исправил вторую 0-day уязвимость, актуальную для некоторых версий Windows и Office. Она связана с некорректностью обработки TIFF-изображений и дает злоумышленнику возможность выполнить код в ходе целевой атаки. В отсутствие патча, который может быть выпущен вне графика, Microsoft рекомендует использовать обновленную утилиту FixIt или приложение EMET, которые помогут предотвратить эксплойт.

В ходе переписки с Threatpost Росс Баррет (Ross Barrett), старший менеджер отдела security-разработок Rapid7, выразил сожаление по поводу отсутствия TIFF-патча в ноябрьском выпуске Microsoft. Тем не менее Rapid7 пока фиксирует лишь отдельные целевые атаки с использованием данной уязвимости, которые к тому же привязаны к единственному региону и требуют взаимодействия с пользователем. Поэтому Баррет заявил, что эта лазейка особых тревог пока не вызывает.

Помимо 0-day высоким приоритетом должны обладать заплатки, включенные в MS13-088, накопительное обновление для Internet Explorer. Оно исправляет 10 критических ошибок; самая серьезная из них делает возможным удаленное выполнение кода, если пользователь просмотрит в IE особым образом созданную веб-страницу. Воспользовавшийся ею злоумышленник может получить такие же права, что и у локального пользователя. И вновь степень риска для потенциальной жертвы зависит от прав, с которыми она работает в браузере.

Еще одна закрываемая критическая уязвимость обнаружена в интерфейсе графических устройств Windows (GDI). Она тоже чревата удаленным выполнением произвольного кода в том случае, если жертва откроет специально созданный файл Windows Write в WordPad. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Бюллетени по безопасности с MS13-091 по MS13-095, которым присвоен статус «существенный», закрывают 7 уязвимостей: выполнение произвольного кода в Office, повышение привилегий в Hyper-V, раскрытие информации в драйвере вспомогательной функции Windows и в Outlook, а также отказ в обслуживании из-за некорректной обработки цифровой подписи веб-службой Windows.

По мнению Тайлера Регьюли (Tyler Reguly), менеджера по техническому сопровождению исследований и разработок компании Tripwire, из «существенных» багов наибольший интерес представляют уязвимости в Outlook, Hyper-V и schannel.dll. В беседе с журналистом Threatpost эксперт отметил, что брешь в Outlook позволяет провести скан портов, в Hyper-V ― выполнить код на гостевой ОС с другой гостевой ОС. Уязвимость цифровых подписей делает возможным отказ в обслуживании при обработке специально созданного сертификата X.509.

«В целом, хотя это весьма скромный набор вторничных патчей, следует обратить особое внимание на две 0-day и обновление для Internet Explorer, ― заключил технический директор Qualys Вольфганг Кандек (Wolfgang Kandek). ―  Браузеры по-прежнему популярны как объект атаки, и Internet, лидер этого рынка, является одной из наиболее очевидных и вероятных мишеней».

С обзором ноябрьских бюллетеней Microsoft можно ознакомиться в техцентре компании.

Категории: Главное, Уязвимости