Компания выпустила серию обновлений для своих продуктов, которые исправляют 11 уникальных уязвимостей в продуктах Microsoft Windows, Internet Explorer и Office. Все исправления закрывают уязвимости типа Remote Code Execution, два из них имеют статус Critical и еще два Important. Обновление MS14-017 закрывает известную уязвимость CVE-2014-1761 во всех поддерживаемых версиях MS Word 2003-2013. Ранее мы писали, что злоумышленники использовали эксплойт к этой уязвимости для проведения атак на пользователей MS Word 2010, которые используют небезопасную библиотеку mscomctl.dll, скомпилированную без поддержки ASLR. Пользователи Word 2013 защищены от подобных «Security Feature Bypass» уязвимостей, поскольку для этого продукта Microsoft поддерживает принудительное включение ASLR для всех загружаемых в память модулей (enforce ASLR randomization natively).
В этом patch tuesday также присутствует обновление MS14-018 для всех версий браузера Internet Explorer 6-11 на всех ОС от Windows XP до Windows 8/8.1. Злоумышленники могут воспользоваться специальным образом подготовленной веб-страницей для удаленного исполнения кода в браузере (drive-by download). Обновление исправляет шесть memory-corruption уязвимостей в IE. Для применения исправлений нужна перезагрузка. Это последний patch tuesday, в рамках которого компания выпускает обновления для Windows XP и MS Office 2003.
Обновление MS14-017 закрывает три уязвимости во всех версиях Office: CVE-2014-1757, CVE-2014-1758, CVE-2014-1761. Первая уязвимость присутствует в компоненте Office File Format Converter, злоумышленники могут подготовить специальный документ, через который можно выполнить код на удаленной системе. Используя вторую RCE уязвимость типа stack-overflow в Word 2003 злоумышленники также могут выполнить удаленный код в системе. Уязвимость эксплуатируется in-the-wild.
Обновление MS14-019 исправляет одну Remote Code Execution уязвимость CVE-2014-0315 в компоненте Windows File Handling на всех ОС Windows XP — 8/8.1. Уязвимость присутствует в механизме обработки пакетных .bat и .cmd файлов. Злоумышленники могут спровоцировать удаленное исполнение кода при открытии определенного файла такого типа по сети через подмену cmd.exe на свою копию файла (CMD hijack) в текущей директории (CWD). При исполнении CreateProcess таких файлов, она может вызвать интерпретатор cmd именно из CWD директории, т. е. подмененный файл. Exploit code likely.
Обновление MS14-020 закрывает одну arbitrary-pointer-dereference уязвимость CVE-2014-1759 в MS Publisher 2003 и 2007. Атакующие могут спровоцировать удаленное исполнение кода, используя специальным образом подготовленный файл для Publisher. Exploit code likely.
1 – Exploit code likely
Вероятность эксплуатирования уязвимости очень высока, злоумышленники могут использовать эксплойт, например, для удаленного выполнения кода.
2 – Exploit code would be difficult to build
Вероятность эксплуатирования средняя, поскольку злоумышленники вряд ли смогут добиться ситуации устойчивого эксплуатирования, а также в силу технической особенности уязвимости и сложности разработки эксплойта.
3 – Exploit code unlikely
Вероятность эксплуатирования минимальная и злоумышленники вряд ли смогут разработать успешно работающий код и воспользоваться этой уязвимостью для проведения атаки.
Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
be secure.
Автор: esetnod32