Microsoft исправляет критические ошибки во вторник

Microsoft исправила 23 уязвимости в пяти бюллетенях по безопасности в рамках своего июньского выпуска исправлений во вторник. Из исправленных ошибок 19 были в Internet Explorer.

В соответствии с рекомендацией Microsoft Patch Tuesday, уязвимости, приводящие к повреждению памяти, затронули все поддерживаемые версии веб-браузеров Internet Explorer, работающих во всех поддерживаемых операционных системах. Бюллетень IE (MS13-047) является единственным критическим в этом месяце,

в то время как остальные четыре бюллетеня были оценены как важные.

По словам Марка Майффрета, технического директора BeyondTrust, четыре из этих проблем затрагивали каждую поддерживаемую версию IE, предполагая, что злоумышленники, скорее всего, воспользуются этими уязвимостями, прежде чем пытаться использовать другие.

«Учитывая большое количество исправленных уязвимостей, это будет основной целью для злоумышленников по обратному проектированию и созданию эксплойта, который может быть доставлен через вредоносную веб-страницу», - согласился Вольфганг Кандек, технический директор Qualys.

Обновления для Office, Windows

Другой высокоприоритетный бюллетень посвящен уязвимостям в Microsoft Office (MS13-051). По словам Microsoft, уязвимость синтаксического анализа графического формата PNG в Office 2003 для Windows и 2011 для Mac OS X в настоящее время целенаправленно подвергается ограниченным атакам.

«Единственная причина», по которой Росс Барретт (Ross Barrett), старший менеджер по проектированию безопасности в Rapid7, говорит, что «единственная причина» Microsoft не помечала бюллетень Office как критический, это связано с небольшим количеством уязвимых платформ. Злоумышленники, заинтересованные в использовании этого недостатка, будут использовать

заминированный документ Word.

Остальные бюллетени посвящены уязвимости раскрытия информации (MS13-048), проблеме отказа в обслуживании в стеке TCP / IP (MS13-049) и уязвимости локального повышения привилегий в Windows Print Spooler (MS13-050), согласно Microsoft. Ошибка DoS

затрагивает более новые версии Windows, от Vista до Windows 8 и Server 2008 до Server 2012. Недостатком является только локальная уязвимость для Vista, Windows 7 и Server 2008, но в Windows 8 и Server 2012 эту ошибку можно использовать в сети,

«Удивительно, что более новые версии Windows более восприимчивы к этой ошибке, чем более старые версии», - сказал Ламар Бэйли, директор по исследованиям безопасности в Tripwire. «Новее не всегда лучше», - добавил он.

Microsoft не закрыла уязвимость повышения привилегий в ядре, обнаруженную сотрудником Google Тависом Орманди в начале этого месяца в рамках этого выпуска исправления во вторник. Эксплойт с проверкой концепции уже доступен, поэтому разумно предположить, что

андерграунд работает над тем, чтобы сделать эту уязвимость частью своего арсенала », - сказал Кандек, который предсказал, что это исправление будет частью июльского обновления« Патч во вторник ». Баррет не думал, что внеполосный патч, скорее всего, вызван только локальной ошибкой ядра.

В общем, это довольно маленький патч на вторник, но, учитывая недавнее обновление Apple Mac OS X и обновление Adobe Flash, администраторы все равно будут заняты.