Microsoft патчит Windows, IE и останавливает 2 обновления

Сегодня, компания Microsoft выпустила 14 обновлений безопасности для решения 32 уязвимостей Windows, Internet Explorer и Microsoft Office. Два обновление запланированные к сегодняшнему выпуску (MS14-068 и MS14-075) были задержаны и дата их релиза до настоящего момента не ясна.

Напомню, изначально Microsoft оповещала о 16 новых обновлений, но, по какой то причине 2 из них пока что не вышли.

Наиболее серьезная из уязвимостей — MS14-066, позволяла получить удаленное выполнение команд без всяческой аутентификации на Windows Server. Что ж, рассмотрим более подробнее обновления:

  • MS14-064: Уязвимость в Windows OLE позволяет возможным выполнение удаленного кода (3011443) — две уязвимости позволяли управлять системой через OLE клиента, такого как PowerPoint.
  • MS14-065: Кумулятивное обновление безопасности в браузере Internet Explorer (3003057), это обновление исправить 17 уязвимостей в IE. 11-ая версия браузера, имеет шесть критических уязвимостей, так же Microsoft говорит что выполнение произвольного кода возможно во всех 17 уязвимостях.
  • MS14-066: Уязвимость в Schannel — позволяет удаленное выполнение кода (2992611) это очень серьезная уязвимость, затрагивающая Windows Server.
  • MS14-067: Уязвимость в XML Core Service, позволяет удаленное выполнение кода (2993958) — вредоносный веб-сайт может поставить под угрозу браузер Internet Explorer при использовании XML.
  • MS14-069: Уязвимость в Microsoft Office, так же позволяющая удаленное выполнение вредоносного кода (3009710) оно затрагивает Word 2007 SP3, WOrd Viewer и пакет обеспечения совместимости Office Service Pack 3, может «завладеть» Вашей системой с помощью специально созданного файла.
  • MS14-070: Уязвимость в TCP/IP делающее возможность несанкционированного получения прав — злоумышленник может получить повышенные привелегии через проблему в TCP/IP клиенте Windows (IPv4 или IPv6).
  • MS14-071: Уязвимость в Windows Audio Service, позволяет получать несанкционированное получение прав (3005607) — эта уязвимость может быть использована вместе, к примеру, с выше или ниже описанными.
  • MS14-072: Уязвимость в .NET Framework так же делает возможным несанкционированное получения прав доступа (3005210) — злоумышленник может получить повышенные привилегии, отправив специально созданные данные на клиенте или сервере, который использует .Net Remoting. Далеко не все версии Windows затрагиваются, но тем не менее, данный патч входит в пакет обновления.
  • MS14-073: Уязвимость в Microsoft SharePoin Foundation делает возможным несанкционированное получение прав доступа (3000431) — злоумышленник может запустить произвольный сценарий на сервере Microsoft SharePoint Foundation 2010 с пакетов обновления 2.
  • MS14-074: Является уязвимостью в протоколе удаленного рабочего стол, система может не записывать журнал событий должным образом (видимо, можно было подключиться к удаленному рабочему столу и в журнале событий об этом действии ничего не будет написано). Microsoft считает что использование данной уязвимости маловероятно.
  • MS14-076: Уязвимость в Internet Information Services (IIS) — пользователь может обойти ограничения IIS, подменив имя пользователя и ip адрес. Так же, Microsoft считает, что использование данной уязвимости маловероятно.
  • MS14-077: Уязвимость в службе Acrive Directory Federation Service может допустить раскрытие информации (3003381).
  • MS14-078: Уязвимость в IME (Японской версии) делает возможным несанкционированное получение прав (3005210).
  • MS14-079: Уязвимость в Kernel Mode Driver может привести к отказу в обслуживании (3002885) — если пользователь использует проводник Windows, чтобы просмотреть общий сетевой ресурс, содержащий специально созданный шрифт TrueType, система может перестать отвечать на запросы пользователя.

Обновление MS14-066 включает в себя поддержку новых SSL/TLS шифров. Так же, Microsoft выпустила новую версию Flash Player, встроенную в Internet Explorer 10 и 11 для решения свежей уязвимости в Adobe Flash. Более подробная информация об обновлениях Вы можете получить по данной ссылке

comments powered by HyperComments