Microsoft анонсировали выпуск серии патчей, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (4 июля) секьюрити-фиксы покрывают в общей сложности 35 уникальных уязвимости (6 исправлений со статусом Critical и 1 со статусом Important). Детальный отчет Вы можете найти здесь.
Критическое обновление MS13-055 нацелено на устранение уязвимостей типа Remote Code Execution, которые присутствуют во всех версиях браузера Internet Explorer, начиная с 6-й версии и заканчивая новейшим IE 10 (для всех ОС Windows XP — 8 — RT, x32 и x64, для серверных версий ОС как Moderate). Другое критическое обновление MS13-052 нацелено на устранение уязвимостей Remote Code Execution в платформе Silverlight и .NET Framework (для всех ОС Windows XP — 8 — RT, x32 и x64).
Компания анонсировала исправление для LPE 0day уязвимости CVE-2013-3660 (MS13-055), о которой мы более подробно писали в прошлом посте, посвященном patch tuesday.
В рамках нескольких апдейтов (MS13-052, MS13-053, MS13-054) компания исправляет уязвимость CVE-2013-3129, которая присутствует в коде различных компонентов (платформах .NET Framework, Silverlight и драйвере подсистемы Win32 — win32k.sys) при обработке файлов шрифтов TrueType. Специальным образом сформированный TrueType файл, при его открытии, может повлечь удаленное исполнение произвольного кода в системе (RCE). При этом злоумышленник может получить полный контроль над скомпрометированной системой.
MS13-052 исправляет 7 уязвимостей в платформе .NET Framework и Microsoft Silverlight 5 (RCE). CVE-2013-3129, CVE-2013-3131, CVE-2013-3132, CVE-2013-3133, CVE-2013-3134, CVE-2013-3171, CVE-2013-3178.
MS13-053 исправляет 8 уязвимостей в ядре ОС (win32k.sys) типа Remote Code Execution и Elevation of Privilege (RCE). CVE-2013-1300, CVE-2013-1340, CVE-2013-1345, CVE-2013-3129, CVE-2013-3167, CVE-2013-3172, CVE-2013-3173, CVE-2013-3660.
MS13-054 исправляет уязвимость CVE-2013-3129 при обработке файлов шрифтов в самой ОС, продуктах Office, Visual Studio и Lync (RCE). Exploit code likely.
MS13-055 исправляет 17 уязвимостей в Internet Explorer типа memory corruption (RCE). Злоумышленник может удаленно выполнить произвольный код в системе через специальным образом сформированную веб-страницу. Обновление касается всех версий IE.
MS13-056 исправляет кросс-платформенную (XP-7) RCE уязвимость CVE-2013-3174 в компоненте ОС DirectShow, которая может эксплуатироваться злоумышленниками посредством специальным образом сформированного графического GIF-файла. Exploit code likely.
MS13-057 исправляет кросс-платформенную (XP-7-RT) RCE уязвимость CVE-2013-3127 в компоненте ОС Windows Media Format Runtime Library (wmvdecod.dll). Злоумышленники могут эксплуатировать уязвимость посредством специальным образом сформированного файла для приложения Windows Media. Exploit code would be difficult to build.
MS13-058 исправляет уязвимость CVE-2013-3154 типа Elevation of Privilege в MS Defender (выпуска Windows 7). CVE-2013-3154. Exploit code likely.
1 – Exploit code likely
Вероятность эксплуатирования уязвимости очень высока, злоумышленники могут использовать эксплойт, например, для удаленного выполнения кода.
2 – Exploit code would be difficult to build
Вероятность эксплуатирования средняя, поскольку злоумышленники вряд ли смогут добиться ситуации устойчивого эксплуатирования, а также в силу технической особенности уязвимости и сложности разработки эксплойта.
3 – Exploit code unlikely
Вероятность эксплуатирования минимальная и злоумышленники вряд ли смогут разработать успешно работающий код и воспользоваться этой уязвимостью для проведения атаки.
Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
be secure.
Автор: esetnod32