Ноябрьский «вторник патчей» от Microsoft ознаменовался выпуском 12 бюллетеней. Четыре из них устраняют критические уязвимости, открывающие возможность для удаленного исполнения кода.

Данный набор содержит обновления для систем безопасности Windows, Lync, .NET и Skype for Business, а также два патча для опасных брешей в браузерах, актуальные почти для всех сборок Windows, Internet Explorer и Edge.

Накопительное обновление для Internet Explorer оценено как критическое для пользователей версий 7–11 этого продукта. Оно устраняет 25 разных уязвимостей, большинство из них — баги нарушения целостности памяти, позволяющие удаленно выполнить код, если пользователь откроет в IE специально созданную страницу. При успешном эксплойте атакующий получает права текущего пользователя. Пропатчены также раскрытие информации, обход ASLR и порча памяти в движках JScript и VBScript.

В браузере Microsoft Edge разработчик исправил четыре уязвимости, критичные для пользователей Windows 10: три бага порчи памяти и обход ASLR, позволяющий получить права текущего пользователя. В четверг, 12 ноября, ожидается выпуск «осеннего обновления» для Windows 10 — первый апгрейд функциональности, посему пользователям придется немного повременить с установкой новых патчей для Edge.

Критический бюллетень MS15-115 Вольфганг Кандек (Wolfgang Kandek) из Qualys рекомендует поставить во главу списка при расстановке приоритетов для ноябрьских патчей. Это обновление корректирует обработку объектов в памяти операционной системой, обработку внедренных шрифтов подсистемой Adobe Type Manager Library и валидацию некоторых разрешений ядром Windows.

В целом это обновление латает семь брешей, самые серьезные из них позволяют удаленно выполнить код, если атакующему удастся убедить пользователя открыть особый документ или посетить сомнительную страницу с внедренным набором шрифтов.

«Две из [семи] уязвимостей присутствуют в системе обработки шрифтов, — поясняет Кандек, — посему они допускают удаленный эксплойт через интернет-навигацию или почтовую рассылку. Эти бреши актуальны для всех версий Windows, в том числе для Windows 10 и RT».

Четвертое критическое обновление закрывает уязвимость переполнения хипа в журнале Windows Vista и Windows 7 — компоненте, фиксирующем важные программные и аппаратные события. Если пользователь откроет вредоносный Journal-файл, атакующий теоретически сможет выполнить произвольный код в системе.

Остальные бюллетени помечены как «важные», однако они, по мнению экспертов, тоже заслуживают внимания пользователей. Так, например, ведущий программист Core Security Джон Рудольф (Jon Rudolph) придает большое значение патчам против повышения привилегий в NDIS, .NET и Winsock.

В Schannel закрыта возможность спуфинга посредством MitM-атаки, в Kerberos — обход защиты, в Skype for Business и Lync — раскрытие информации посредством IM-сообщения с вредоносным JavaScript.

Update.  Судя по многочисленным жалобам пользователей Outlook, патч KB3097877 оказался неудачным. Он был доработан для Windows 7 и Windows Server 2008 R2 и повторно раздается в автоматическом режиме под тем же KB-номером.

Категории: Главное, Уязвимости