Microsoft исправляет критические ошибки интернет-обозревателя во вторник

Microsoft исправила 33 уязвимости в десяти бюллетенях в Internet Explorer, приложениях Office, Windows,.NET Framework и Lync в рамках своего выпуска May Patch вторник.

Microsoft сообщила в своем уведомлении о патче во вторник, что из десяти только два бюллетеня оценены как «критические», то есть самый высокий уровень опасности. Остальные патчи оцениваются как «важные», что обычно означает, что злоумышленники не смогут использовать уязвимость без участия пользователя.

«Хотя 10 патчей, охватывающих 33 уязвимости, могут показаться большим количеством, это не все плохие новости для ИТ», - сказал Пол Генри, аналитик по безопасности и криминалистике из Lumension.

Исправления для Internet Explorer

Оба критических исправления предназначены для Internet Explorer. Главный вопрос для исправления, вышедшего в этом месяце, заключался в том, исправит ли Microsoft недавно объявленный нулевой день в Internet Explorer 8. На прошлой неделе Microsoft выпустила временный обходной путь, а сегодня вышла полная версия исправления (MS13-038).

«Приятно видеть, что Microsoft так быстро решила эту проблему, поскольку она активно эксплуатируется», - сказал Генри.

Другое исправление IE (MS13-037) является накопительным обновлением для версий IE 6, 7, 8, 9 и 10 и закрывает 11 различных уязвимостей, включая уязвимости, о которых сообщалось во время конкурса Pwn2Own еще в марте.

«С одной стороны, это Microsoft в своих лучших проявлениях безопасности», - сказал Росс Барретт, старший менеджер по проектированию безопасности в Rapid7, SecurityWatch . Компания незамедлительно отреагировала, выпустив публичное консультативное предупреждение об этой проблеме, отменила временный обходной путь, а затем закрыла уязвимость в рамках запланированного обновления, и все это в течение 11 дней.

С другой стороны, тот факт, что Microsoft выпускает критические исправления Internet Explorer практически каждый месяц, подчеркивает, что не так с тем, как Microsoft обрабатывает исправления и устаревшее программное обеспечение, сказал Барретт. В противоположность этому, браузер Google Chrome обновляется автоматически по мере появления исправлений, и нет необходимости беспокоиться о «старой версии» браузера. По словам Барретта, Microsoft связывает ресурсы для поддержки старых версий и подвергания пользователей риску.

Другие бюллетени, чтобы отметить

Другой известный бюллетень посвящен условию отказа в обслуживании, влияющему на HTTP-клиента и сервер в Windows (MS13-039). Эта проблема относится только к более новым версиям Windows, особенно к Windows Server 2012. Атаки, использующие эту уязвимость, могут быть «потенциально очень разрушительными», поскольку многие удаленные службы и интеграции Active Directory полагаются на http.sys, сказал Барретт.

«Все команды ИТ-безопасности должны быстро освоиться, так как эксплойт, вероятно, будет разработан очень быстро. Успешный эксплойт может привести к DoS на затронутых серверах, что приведет к временным сбоям», - сказал Ламар Бейли, директор по исследованиям и разработкам в области безопасности в Tripwire.

Microsoft устраняла уязвимости в различных продуктах Office, такие как ошибки удаленного выполнения кода в Microsoft Lync (ранее Communicator) (MS13-041), 11 проблем с повреждением памяти в Publisher (MS13-042) и ошибки в Microsoft Word и Excel (MS13- 042). Уязвимость Lync можно использовать только в том случае, если два пользователя в сеансе Lync совместно используют вредоносный контент. «Надеюсь, никто из ваших пользователей не будет общаться с Lync с кем-то, кто пытается атаковать ваши системы, и в этом случае у вас все будет в порядке», - сказал Генри.

Уязвимость подделки и обход аутентификации в.NET (MS13-040) не влияют на конфигурацию по умолчанию. Другой бюллетень посвящен уязвимостям раскрытия информации в Windows Essentials 2012 (MS13-045). Microsoft также исправила три локальных ошибки повышения привилегий в драйверах режима ядра Windows (MS13-046). Наиболее серьезные ошибки затрагивают Windows XP и позволяют злоумышленникам запускать процессы в более высоком контексте.

«Обязательно исправьте Internet Explorer (MS13-037 и MS13-038) как можно скорее, вместе с MS13-039 на веб-серверах с выходом в Интернет, а затем остальные исправления», - сказал Марк Майффрет, технический директор BeyondTrust.