Microsoft выпустили очередной набор обновлений, февраль 2013

    Менее часа назад Microsoft анонсировали выпуск очередной серии патчей, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (7 февраля) секьюрити-фиксы покрывают в общей сложности 57(!) уникальных уязвимостей (5 исправлений со статусом Critical и 7 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь.



    В частности, два из пяти критических обновлений устраняют уязвимости в браузере Internet Explorer. С помощью этих уязвимостей хакер может удаленно выполнить произвольный код на уязвимом компьютере. Под ударом оказались все версии IE, начиная с IE6 и заканчивая новейшей версией — IE10.



    Другое критическое обновление затрагивает Windows XP, Windows Vista и Windows Server 2003 и не распространяется на современные клиентские ОС Windows 7 или Windows 8 (патч также направлен на Windows Server 2008). Четвертое исправление касается почтового сервера Microsoft Exchange и пятое покрывает уязвимость только в Windows XP.

    В целом обновления направлены на устранение уязвимостей в следующих продуктах: клиентские версии Windows, Windows Server, Office, Internet Explorer, Exchange и .NET Framework. 6 обновлений касаются устранения уязвимостей типа «Remote Code Execution», позволяющие атакующему удаленно выполнить произвольный код, 2 обновления типа «Denial of Services» и 4 «Elevation of Privelege», которые позволяют атакующему повысить свои привилегии в системе.

    Комментирует Алекс Ионеску (Alex Ionescu) — эксперт по информационной безопасности и Windows Internals:

    Хакеры могут воспользоваться фишингом [для заманивания пользователей на страницу установки эксплойта] и, далее, использовать уязвимости типа «Elevation of Privelege», чтобы получить привилегии уровня системы, что является, по-существу, наихудшим вариантом развития событий для системы безопасности.


    Примечательно, что патч MS13-016 исправляет довольно большое количество багов в компоненте режима ядра win32k.sys (драйвер подсистемы Windows, работающий в режиме ядра). Всего им устраняется 30 уязвимостей в win32k(!).

    Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).





    Также примите к сведению рекомендации по безопасности:
    • Своевременно устанавливайте патчи и обновления для вашего ПО.
    • Следите за обновлениями такого «критического ПО» как Adobe Flash Player и Java.
    • Старайтесь запускать с правами администратора только те приложения, которым вы достаточно доверяете.

    Проверьте вашу версию Adobe Flash Player здесь.
    Проверьте версию Java здесь.


    be secure.
    ESET NOD32
    85.14
    Company
    Share post

    Comments 32

      0
      А ничего не слышно про IE 10 под Win7? Сколько уже ждем.

      Обновления, кстати, сразу поставились.
        0
        А релиз-превью нестабильный?
          +4
          Проблема не в том, что он нестабильный. Я жду, когда он всем с обновлениями придет, и уйдет старый IE 9.
            0
            Так поставьте сейчас, у него в настройках есть галочка «вытягивать обновления в случае наличия»
            единственное что меня сейчас держит на Хроме — я не могу понять как сделать Pin-Tab — у меня в хроме так открыта почта и социалки, в IE же все вкладки идентичные и Pin Tab в панель задач — немного не то :(
              0
              Да мне он не нужен. Я жду, когда у всех уйдет IE9, т.к. он уже устаревает.
          +1
          Internet Explorer 10 Release Preview вполне юзабелен, несмотря на то, что еще не релизный.
            0
            Не особо.
            При попытке проиграть видео BSOD, при попытке переключить режим на IE8 — BSOD. В общем чуть что — сразу BSOD.
              +3
              BSOD больше характерен для аппаратных ошибок. Поскольку IE10 использует аппаратное ускорение, проверьте драйвера видеокарты, обновите, если надо, возможность перегрева и т.п., дело, вероятно, в этом.
                +1
                Еще можно попробовать отключит аппаратное ускорение в настройках браузера. У меня ни одного бсода
                  0
                  Не думаю. Я слежу за состоянием своего ноутбука и за температурными датчиками время от времени.
                  Проблема вероятнее всего именно в IE10.
                  Я там немного ниже развернутый комментарий по этому поводу написал.
                    0
                    +1
                    BSOD'ы точно по вине IE? Что в логах пишут? Просто я у себя такого ужаса не наблюдаю, вот и интересно.
                      0
                      Я BSOD не видел 2 года с момента покупки этого ноутбука и до тех пор пока не установил IE10.

                      Я не верю в проблемы с драйверами на видеокарту или на что-либо ещё, так как я смотрю на этом ноутбуке видео, играю в Diablo 3 и Starcraft, иногда пользуюсь фотошопом для редактирования очень больших файлов, запускаю MacOS в VMWare, в общем не только в карты играю. И ни разу за всё время не видел BSOD.

                      Я не стал разбираться в причинах его появления — некогда было, я просто взял и удалил IE10. И теперь я опять долгое время не увижу BSOD, я надеюсь.
                    0
                    Да, относительно стабилен (у меня не выбивало). Но еще очень далек от обычного пользователя.
                    0
                    Можно запускать IE10 из под Spoon.
                      0
                      Я использую Win8 и IE10 у меня есть. Я выше дважды написал, что хочу релиза для семерки только для того, чтобы ушел девятый IE (и не стал занозой как 6-й и 8-й).
                        0
                        А чем он так отличается от 10 в плане совместимости?
                          0
                          Как это чем? Это почти два разных браузера.

                          Смотрите, например, тут. Раздел «Web standards».
                    0
                    интересно, как Майкрософт реагируют на то, что в РФ так часто меняют часовые пояса? снова апдейт ждать?
                      +31
                      Нет, теперь Windows сам отслеживает новости по ключевым словам «госдума», «часовой пояс», «удои коров»
                        –7
                        Спасибо за ответ. Вспомнил шутку когда Майкрософт поглатила Скайп, и по интернету ходила картинка SkyNET.
                      +3
                      Проверьте вашу версию Adobe Flash Player здесь.
                      Проверьте версию Java здесь.
                      Проверьте лучше версии всех плагинов здесь.
                        0
                        Лучше все-таки здесь: www.serfpatrol.ru/report
                          +2
                          Эта штука версию браузера определяет с ошибкой.
                            0
                            Они исправляют ошибки со временем :)
                              +5
                              так вроде во времени ошибок-то нету :)
                            0
                            Хм, и правда. На Mozilla почему-то устаревшие сведения о Flash. Спасибо за ссылку.
                            +2
                            Хм, за 7 дней Chrome так и не соизволилобновиться.
                          +1
                          Еще лучше поставить Secunia PSI и доверить ему обновление приложений.
                            0
                            Про обновления основных клиентских продуктов хорошо пишут в блоке VMware Go:
                            blogs.vmware.com/go/tag/patch-tuesday
                              0
                              С помощью этих уязвимостей хакер может удаленно выполнить произвольный код на уязвимом компьютере. Под ударом оказались все версии IE, начиная с IE6 и заканчивая новейшей версией — IE10.

                              Это как такое вообще возможно? Сколько там еще таких фичей? Они постоянно закрывают в ИЕ уязвимости, где хакер может выполнить произвольный код.

                              Only users with full accounts can post comments. Log in, please.