Microsoft выпустили очередной набор обновлений, июль 2013

    Microsoft анонсировали выпуск серии патчей, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (4 июля) секьюрити-фиксы покрывают в общей сложности 35 уникальных уязвимости (6 исправлений со статусом Critical и 1 со статусом Important). Детальный отчет Вы можете найти здесь.

    Критическое обновление MS13-055 нацелено на устранение уязвимостей типа Remote Code Execution, которые присутствуют во всех версиях браузера Internet Explorer, начиная с 6-й версии и заканчивая новейшим IE 10 (для всех ОС Windows XP — 8 — RT, x32 и x64, для серверных версий ОС как Moderate). Другое критическое обновление MS13-052 нацелено на устранение уязвимостей Remote Code Execution в платформе Silverlight и .NET Framework (для всех ОС Windows XP — 8 — RT, x32 и x64).

    Компания анонсировала исправление для LPE 0day уязвимости CVE-2013-3660 (MS13-055), о которой мы более подробно писали в прошлом посте, посвященном patch tuesday.

    В рамках нескольких апдейтов (MS13-052, MS13-053, MS13-054) компания исправляет уязвимость CVE-2013-3129, которая присутствует в коде различных компонентов (платформах .NET Framework, Silverlight и драйвере подсистемы Win32 — win32k.sys) при обработке файлов шрифтов TrueType. Специальным образом сформированный TrueType файл, при его открытии, может повлечь удаленное исполнение произвольного кода в системе (RCE). При этом злоумышленник может получить полный контроль над скомпрометированной системой.



    MS13-052 исправляет 7 уязвимостей в платформе .NET Framework и Microsoft Silverlight 5 (RCE). CVE-2013-3129, CVE-2013-3131, CVE-2013-3132, CVE-2013-3133, CVE-2013-3134, CVE-2013-3171, CVE-2013-3178.

    MS13-053 исправляет 8 уязвимостей в ядре ОС (win32k.sys) типа Remote Code Execution и Elevation of Privilege (RCE). CVE-2013-1300, CVE-2013-1340, CVE-2013-1345, CVE-2013-3129, CVE-2013-3167, CVE-2013-3172, CVE-2013-3173, CVE-2013-3660.

    MS13-054 исправляет уязвимость CVE-2013-3129 при обработке файлов шрифтов в самой ОС, продуктах Office, Visual Studio и Lync (RCE). Exploit code likely.

    MS13-055 исправляет 17 уязвимостей в Internet Explorer типа memory corruption (RCE). Злоумышленник может удаленно выполнить произвольный код в системе через специальным образом сформированную веб-страницу. Обновление касается всех версий IE.

    MS13-056 исправляет кросс-платформенную (XP-7) RCE уязвимость CVE-2013-3174 в компоненте ОС DirectShow, которая может эксплуатироваться злоумышленниками посредством специальным образом сформированного графического GIF-файла. Exploit code likely.

    MS13-057 исправляет кросс-платформенную (XP-7-RT) RCE уязвимость CVE-2013-3127 в компоненте ОС Windows Media Format Runtime Library (wmvdecod.dll). Злоумышленники могут эксплуатировать уязвимость посредством специальным образом сформированного файла для приложения Windows Media. Exploit code would be difficult to build.

    MS13-058 исправляет уязвимость CVE-2013-3154 типа Elevation of Privilege в MS Defender (выпуска Windows 7). CVE-2013-3154. Exploit code likely.

    1 – Exploit code likely
    Вероятность эксплуатирования уязвимости очень высока, злоумышленники могут использовать эксплойт, например, для удаленного выполнения кода.

    2 – Exploit code would be difficult to build
    Вероятность эксплуатирования средняя, поскольку злоумышленники вряд ли смогут добиться ситуации устойчивого эксплуатирования, а также в силу технической особенности уязвимости и сложности разработки эксплойта.

    3 – Exploit code unlikely
    Вероятность эксплуатирования минимальная и злоумышленники вряд ли смогут разработать успешно работающий код и воспользоваться этой уязвимостью для проведения атаки.

    Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).


    be secure.
    ESET NOD32
    84.36
    Company
    Share post

    Comments 19

      +1
      Спасибо за информацию. В последнее время как раз благодаря вашим постам узнаю о выходе обновлений для ОС. Зачем МС ведут свой блог, не понимаю…
        +1
        А что вы читаете? В блоге Microsoft про обновления безопасности было написано пять дней назад
        blogs.technet.com/b/msrc/archive/2013/07/04/advance-notification-service-for-july-2103-security-bulletin-release.aspx
          0
          Спасибо за ссылку, подпишусь и на этот блог. Microsoft возможно и писал, но я имел в виду как раз вот такую детальную подачу информации на русском ;-)
            +4
            Эта информация появляется только после выхода самих патчей. Ну то есть, она появилась несколько часов назад, до этого было известно только о компонентах, которые будут затронуты и о числе бюллетеней обновления.

            Соответственно, быстрее оперативных коллег из ESET эту информацию подготовить на русском языке сложно. Спасибо им за скорость :-)
        –2
        Буду крайним.
        Объявлено что по вторникам будут выходить обновления.
        но как то сейчас уже не совсем вторник… он уже кончился… почти.

        У кого есть информация… — почему возникла такая задержка?

            –3
            Спасибо, я в курсе.

            Но как я себя помню, утром, в 9:00 — обычно по вторникам я получаю сообщение о обновлении.

            Сегодня утром проверил — не поверил — попробовал еще раз… ?? — у меня все ок — нет обновлений.

            мой SBS — пока еще проверяет — с момента вашего поста — наличие обновлений… уже 14% проверки…

            — претензии не к скорости.., я это понимаю… сколько желающих…
            Но почему возникла эта задержка… от обычной схемы = -15 часов

            ?
              +2
              Patch Tuesday begins at 18:00 or 17:00 GMT (10:00 PST (GMT-8) or 10:00 PDT (GMT-7)).

              en.wikipedia.org/wiki/Patch_Tuesday
                –3
                Еще раз вам спасибо за информацию.

                я знаю про то, что Земля не на черепахе… и что она вертится.

                специально для вас повторяю свой вопрос: «как я себя помню, утром, в 9:00 — обычно по вторникам я получаю сообщение о обновлении.»

                Сейчас я имею (online) — 27% проверки обновлений

                — в чем я не прав?
                Нужно ждать исправлений глюков разработчика 2-3-4 месяца?
                  –10
                  Продолжаю упираться:
                  да, проверка обновлений завершилась.
                  — Нет обновлений.

                  — ну, будьте честными — для, XaocCPS, = я понимаю, то ваша работа.

                  ДА. мы опять облажались.
                  Да есть проблемы
                  Через 40 минут будет все ок

                  но я повторю 3-х раз свой вопрос: почему? = «почему возникла такая задержка»

                  вашей конторе НЕ ИНТЕРЕСНА работоспособность ваших продуктов?
                  Главное ВТЕРЕТЬ следующую версию — а текущие пользователи ( ну… они ведь уже заплатили = нахИХ)
                    0
                    Стесняюсь спросить, Вы с кем разговариваете?
          +3
          Ещё Flash Player обновился до версии 11.8.800.94:
          www.adobe.com/ru/products/flashplayer/distribution3.html

          Жаль, так и не выпустили SP2 для Office 2010, уже три месяца длится бета-тестирования.
            0
            И хром тоже обновился до 28 версии.
            Системным администраторам: похоже, что с апдейтом сломались групповые политики.
            0
            Ни у кого нет проблем с установкой KB2834140, KB2836943, KB2836502, KB2832414, KB2835361? Ошибка 80072F78 выдается, при этом все остальные обновления ставятся.
            Все что в KB MS написано по этой ошибке пробовал — не помогло.
              0
              На 3х машинах возникла проблема с этими обновлениями (код ошибки правда другой — 0x800f0826). Выключил их из основного деплоймент-рула, и вкатил отдельно от остальных. Потом заметил еще на одной, но пока ничего не делаю, по идее SCCM сам должен разобраться как только у него Dedline кончится на установку пакета.
                0
                У меня постоянно разный код ошибки…
                  0
                  Можно попробовать грохнуть кеш обновлений и попробовать их вкатить отдельно поочереди ручками (или SCCM-ом если есть), а то WSUS-ом такое проворачивать задолбаешься. Ну это конечно если машин не много. У меня проблема проявилась очень ограниченно, посему никакой статистики не собрать. Но последняя пачка обновлений ставится вообще как-то тяжело, долго и приключениями.
              0
              Ну как там, в Windows 7 в интернет-эксплорере переключение раскладки исправили, или еще нет?
                +1
                А есть такое одно место, где можно оперативно про все косяки после установки любых обновлений узнавать? Предварительное тестирование тестированием, но дополнительный источник не помешает.

                Only users with full accounts can post comments. Log in, please.