Обнаруженная уязвимость касается корневой части проверки сертификатов в Windows и делает невозможной проверку легитимности ПО. Это открывает злоумышленникам возможность обхода технологий защиты ОС и части модулей антивирусной защиты. Это многократно повышает риски успешного заражения узлов сети вирусным ПО.

9 июня 2020 года компания Microsoft выпустила июньский пакет обновлений безопасности (Patch Tuesday) для Windows 10 версий 2004, 1909, 1903, 1809 и 1607, Windows 8.1 и Windows 7, а также Windows Server 2008/2012/2016 и 2019. Этот пакет обновлений стал самым большим по количеству закрытых уязвимостей за всю историю выпусков Patch Tuesday от Microsoft. В марте этого года было исправлено 115 уязвимостей, а в апреле — 113.

В июньском комплекте патчей Microsoft устранила 129 уязвимостей в 16 программных продуктах компании, включая Edge, IE, Office, Defender, Visual Studio, System Center. Среди них были: 15 критических уязвимостей, причем там отсутствуют исправления уязвимостей нулевого дня, 109 серьезных, 7 со средним уровнем угроз и 2 уязвимости с низким уровнем влияния на систему. Microsoft пояснила, что ни одна из исправленных уязвимостей не использовалась злоумышленниками ранее.

Microsoft выпустила январские обновления безопасности. В этом месяце исправлено 83 уязвимости, 10 из которых критические, включая одну 0-day. Рассказываем, на какие из них стоит обратить особое внимание.

С октября 2003 года каждый второй вторник месяца Microsoft собирает пакет патчей, которые были выпущены за последний месяц. Это делается для удобства корпоративных пользователей, которые не хотят устанавливать автоматические апдейты ежедневно.

В пакете патчей на ближайший вторник 12 октября будут фиксы для 49 уязвимостей, которые описываются в 16 бюллетенях безопасности (4 «критических», 10 «важных» и 2 «средних»). Это дыры в Windows XP, Vista, Windows 7, Windows Server 2003 и 2008, Microsoft Office XP Service Pack 3, Office 2003 Service Pack 3, Office 2007 Service Pack 2, Office 2010, Office 2004 for Mac и 2008 for Mac, Windows SharePoint Services 3.0, SharePoint Server 2007, Groove Server 2010 и Office Web Apps.

49 дыр — новый рекорд Microsoft. Предыдущее «достижение» было установлено в августе (34).

Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (8 августа) секьюрити-фиксы покрывают более 20 уникальных уязвимостей (3 исправления со статусом Critical и 5 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Одно из обновлений MS13-059 нацелено на исправление одиннадцати Critical уязвимостей в браузере Internet Explorer (начиная с 6-й версии и заканчивая новейшим IE 10 для всех ОС Windows XP — 8 — RT, x32 и x64, серверных версий ОС как Moderate). Уязвимости относятся к типу Remote Code Execution и могут использоваться для скрытной установки вредоносного кода (drive-by). Для применения исправления нужна перезагрузка.

Обновление MS13-063 устраняет уязвимости CVE-2013-2556, CVE-2013-3196, CVE-2013-3197, CVE-2013-3198 типа Elevation of Privelege в 32-битных Windows XP, Windows Server 2003, Windows 8 и во всех версиях Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. CVE-2013-2556 присутствует в коде реализации Address Space Layout Randomization (ASLR). Уязвимость позволяет атакующему обойти возможности ASLR и заранее рассчитать нужный адрес загрузки компонента в памяти. Т. е. такая возможность потенциально может быть частью эксплойта, который эксплуатирует другую уязвимость типа Remote Code Execution для удаленного исполнения кода. Другие три уязвимости присутствуют в коде ядре и связаны с использованием memory-corruption в NT Virtual DOS Machine (NTVDM) для запуска своего кода в режиме ядра. Эти уязвимости были обнаружены ресерчерами VUPEN в рамках Pwn2Own 2013.



Критическое обновление MS13-061 устраняет три RCE уязвимости (CVE-2013-2393, CVE-2013-3776, CVE-2013-3781) в Microsoft Exchange Server 2007, 2010 и 2013. Уязвимости могут быть использованы злоумышленниками через специально сформированный файл при его просмотре через интерфейс в браузере Outlook Web Access. При этом атакующий может запустить произвольный код на Exchange Server.

Компания выпустила серию обновлений для своих продуктов, которые закрывают 24 уникальных уязвимостей (6 исправлений со статусом Critical и 5 со статусом Important). Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Это последний patch tuesday в этом году, в рамках него MS исправляет уязвимости для таких продуктов как Internet Explorer, Windows, Office, Exchange и др., причем на исправление продуктов Office нацелено сразу три обновления.



Обновление MS13-096 закрывает эксплуатируемую in-the-wild уязвимость в Office CVE-2013-3906 (Win32/Exploit.CVE-2013-3906.A). Мы более подробно писали о ней здесь. Злоумышленники использовали специальным образом сформированный .doc файлы для установки в систему вредоносного кода через эксплойт. Уязвимость существует в коде обработки встроенного в документ специального изображения (TIFF codec). MS Word использует этот компонент для открытия встроенных в документ других объектов, в этом случае TIFF-изображения. Обновлению подлежат Windows Vista и Server 2008, а также Office 2003-2007-2010. Для применения обновления нужна перезагрузка.

Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 6 уникальных уязвимостей (4 исправления со статусом Important). Это первый patch tuesday в этом году и мы называем его «light patch tuesday», поскольку он не содержит ни одного критического обновления и ни одного обновления для браузера Internet Explorer. Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Исправления ориентированы на операционную систему, Office и ПО Microsoft Dynamics AX. Для применения обновлений нужна перезагрузка.



Обновление MS14-002 закрывает известную с прошлого года (SA 2914486) LPE уязвимость CVE-2013-5065 в версии драйвера ndproxy.sys, который поставляется в составе Windows XP и Windows Server 2003. Атакующие использовали специальным образом сформированный запрос к драйверу через интерфейс IOCTL для исполнения своего кода в режиме ядра (user-mode restrictions escape). Для доставки этого эксплойта использовался специальный PDF-документ, который эксплуатирует уязвимость в устаревшей версии Adobe Reader и используется для преодоления ограничений sandboxing (Adobe Reader sandbox bypass). Вредоносный документ с эксплойтом обнаруживается ESET как PDF/Exploit.CVE-2013-5065.A.

Компания Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 31 уникальную уязвимость (4 исправления со статусом Critical и 3 исправления со статусом Important). В выпущенном шестого февраля расширенном уведомлении об исправляемых уязвимостях не содержалась информация об обновлениях для браузера Internet Explorer. Однако вчера Microsoft включили в Patch Tuesday два критических исправления (Internet Explorer & VBScript flaw), одно из которых MS14-010 закрывает 24 уязвимости типа Remote Code Execution (RCE) во всех версиях браузера IE6-11 на WinXP-8.1 x32/x64. Второе MS14-011 исправляет критическую RCE уязвимость (VBScript Scripting Engine) во всех версиях ОС WinXP-8.1. Для применения исправлений нужна перезагрузка.



Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Обновления закрывают уязвимости в продуктах Windows, Internet Explorer, .NET Framework и Security Software. Отметим, что ранее, на прошлой неделе, MS обновляла Flash Player в составе IE10+ через Windows Update для закрытия CVE-2014-0497 (Adobe APSB14-04).

Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 23 уникальных уязвимости (2 исправления со статусом Critical и 3 со статусом Important). Как обычно, одно из обновлений (MS14-012) нацелено на исправление восемнадцати Remote Code Execution (RCE) уязвимостей во всех версиях браузера Internet Explorer 6-11 на Windows XP SP3/ XP x64 SP2 до Windows 8.1/RT 8.1. Злоумышленники могут использовать специальным образом подготовленную веб-страницу для удаленного исполнения кода через браузер (drive-by). Обновление также закрывает IE10 use-after-free уязвимость CVE-2014-0322 (SA 2934088), которая ранее использовалась в направленных атаках. Для применения обновления нужна перезагрузка.



Другое критическое обновление MS14-013 устраняет double-free-уязвимость CVE-2014-0301 (RCE) в компоненте DirectShow (qedit.dll) для всех ОС начиная с Windows XP и заканчивая 8.1. Атакующие могут использовать специальным образом сформированный файл изображения (JPEG) для исполнения произвольного кода в системе.

Компания выпустила серию обновлений для своих продуктов, которые исправляют 11 уникальных уязвимостей в продуктах Microsoft Windows, Internet Explorer и Office. Все исправления закрывают уязвимости типа Remote Code Execution, два из них имеют статус Critical и еще два Important. Обновление MS14-017 закрывает известную уязвимость CVE-2014-1761 во всех поддерживаемых версиях MS Word 2003-2013. Ранее мы писали, что злоумышленники использовали эксплойт к этой уязвимости для проведения атак на пользователей MS Word 2010, которые используют небезопасную библиотеку mscomctl.ocx, скомпилированную без поддержки ASLR. Пользователи Word 2013 защищены от подобных «Security Feature Bypass» уязвимостей, поскольку для этого продукта Microsoft поддерживает принудительное включение ASLR для всех загружаемых в память модулей (enforce ASLR randomization natively).



В этом patch tuesday также присутствует обновление MS14-018 для всех версий браузера Internet Explorer 6-11 на всех ОС от Windows XP до Windows 8/8.1. Злоумышленники могут воспользоваться специальным образом подготовленной веб-страницей для удаленного исполнения кода в браузере (drive-by download). Обновление исправляет шесть memory-corruption уязвимостей в IE. Для применения исправлений нужна перезагрузка. Это последний patch tuesday, в рамках которого компания выпускает обновления для Windows XP и MS Office 2003.

Компания выпустила серию обновлений для своих продуктов, которые исправляют 13 уникальных уязвимостей в продуктах Windows, Internet Explorer, .NET Framework, Office и SharePoint. Два исправления имеют статус Critical и шесть Important. Критическое обновление MS14-029 исправляет две memory-corruption уязвимости во всех версиях браузера Internet Explorer 6-11 на всех ОС от Windows Server 2003 до Windows 8/8.1. Злоумышленники могут исполнить удаленный код в браузере через специальным образом сформированную веб-страницу (drive-by downloads). Для применения исправления нужна перезагрузка.



Отметим, что неделю назад Microsoft выпустила внеплановое обновление KB2962140 для Windows 8.1 & RT 8.1, которое закрывает уязвимость Heartbleed (CVE-2014-0160) в компоненте VPN-клиента Junos Pulse компании Juniper Networks. Этот VPN-клиент поставляется сторонней компанией и используется Microsoft в составе новейших ОС. Это обновление, как и все остальные security-фиксы для Windows 8.1, может быть установлено в систему только при наличии обязательного обновления KB2919355.

Компания Microsoft выпустила серию обновлений для своих продуктов, которые исправляют 66 уникальных уязвимостей в продуктах Windows, Internet Explorer и Office. Два исправления имеют статус Critical и еще четыре Important. Критическое обновление MS14-035 исправляет рекордные в этом году 59 уязвимостей во всех версиях браузера Internet Explorer 6-11 на всех поддерживаемых ОС. Это обновление также исправляет нашумевшую в прошлом месяце 0day уязвимость CVE-2014-1770 в IE8. Исправляемые уязвимости относятся к типу Remote Code Execution и позволяют злоумышленнику выполнить произвольный код через уязвимую версию браузера. Для применения MS14-035 нужна перезагрузка.



Критическое обновление MS14-036 адресуется для всех поддерживаемых ОС, начиная с Windows Server 2003 и заканчивая Windows 8.1 / RT 8.1. Оно также затрагивает некоторые версии Office 2007-2010. Исправляемая RCE-уязвимость CVE-2014-1817 содержится в компоненте Unicode String Processor и может быть использована атакующими для доставки вредоносного кода в систему через веб-страницу. Другая уязвимость CVE-2014-1818 присутствует в библиотеке gdi32.dll (Windows GDI+) и позволяет злоумышленникам удаленно исполнить код через специально сформированный файл изображения. Для применения исправления требуется перезагрузка. Exploit code likely.

Компания Microsoft выпустила набор обновлений для своих продуктов, которые закрывают 42 уникальных уязвимости. Обновления ориентированы на продукты Windows, Internet Explorer, .NET Framework, и Lync Server. Одно обновление имеет статус Critical и три статус Important. Компания также обновила SA 2755801 в связи с выпуском новой версии проигрывателя Flash Player в составе Internet Explorer (APSB14-21). Обновление MS14-052 исправляет 37 уязвимостей типа Remote Code Execution и Information Disclosure во всех поддерживаемых версиях IE 6-11 для W2k3+. Уязвимости могут использоваться атакующими для проведения атак типа drive-by download, а также для получения информации о системе через IE (напр., удаленное получение информации о файлах). Одна из исправленных Information Disclosure уязвимостей CVE-2013-7331 используется атакующими для проведения атак на пользователей (Exploitation Detected).



Обновление MS14-053 исправляет одну уязвимость CVE-2014-4072 типа Denial of Service во всех версиях .NET Framework. Атакующие могут спровоцировать зависание HTTP-сервера путем отправки специальным образом сформированных запросов к веб-сайту, работающему под управлением ASP.NET. Exploitation Unlikely.

Microsoft выпустила последний плановый набор security-обновлений в этом году. В рамках него было закрыто 24 уязвимости в таких продуктах как MS Windows, Internet Explorer, Office, и Exchange Server (три обновления со статусом Critical и четыре Important). Как обычно, одно из обновлений MS14-080, исправляет уязвимости в браузере Internet Explorer, которыми могут воспользоваться злоумышленники для удаленной установки вредоносного кода в систему. Однако, в рамках этого patch tuesday не было закрыто каких-либо уязвимостей, которые были использованы атакующими в реальных кибератаках (exploited). Для применения MS14-080 нужна перезагрузка.



Еще одно критическое обновление MS14-084 исправляет уязвимость CVE-2014-6363 типа memory-corruption в компоненте VBScript Scripting Engine (vbscript.dll), который используется браузером Internet Explorer для исполнения сценариев VBScript. В этом году vbscript.dll подвергалась исправлениям не один раз.

Microsoft обновила свои продукты, выпустив три обновления со статусом Critical и шесть Important. Исправлению подверглись продукты Windows, Internet Explorer, Office, и Server software, для них было исправлено 56 уязвимостей, причем в IE была исправлена 41 уязвимость (MS15-009). Это максимальное количество уязвимостей, которые были закрыты для этого браузера за последние несколько лет. Большинство из этих уязвимостей относятся к типу Remote Code Execution и могут быть использованы атакующими для проведения атак drive-by download. Одна из закрытых в IE уязвимостей (CVE-2015-0071) используется злоумышленниками в направленных атаках для обхода механизма безопасности ASLR.

Компания Microsoft выпустила набор обновлений для своих продуктов, исправив 26 уникальных уязвимостей в продуктах Windows, Office, Internet Explorer, .NET Framework (4 обновления имеют статус Critical и 7 Important). Обновление MS15-032 исправляет десять уязвимостей в браузере Internet Explorer (6-11). Уязвимости относятся к типу Remote Code Execution (RCE) и позволяют злоумышленнику удаленно исполнить код в браузере с использованием специальным образом сформированной веб-страницы. Для применения обновления нужна перезагрузка.



Еще одно критическое обновление MS15-034 исправляет RCE уязвимость CVE-2015-1635 в драйвере http.sys. Злоумышленники могут удаленно исполнить код в системе через отправку HTTP-запроса со специальным заголовком. Уязвимость присутствует на Windows 7+ и очень опасна, поскольку позволяет удаленно исполнить код с максимальными привилегиями в системе (SYSTEM).

Microsoft выпустила набор исправлений для своих продуктов Windows, Internet Explorer, .NET Framework, Silverlight, Office. Всего было выпущено 13 обновлений, из которых 3 со статусом Critical, остальные Important. Обновление MS15-043 исправляет 22 уязвимости в веб-браузере IE 6-11 и движке VBScript (VBScript Scripting Engine, Vbscript.dll). Уязвимости могут использоваться атакующими для удаленного исполнения кода с использованием специальным образом сформированной веб-страницы, а также для обхода ASLR при разработке более стабильных эксплойтов.



Ранее мы писали про опасную 0day LPE уязвимость в Windows с идентификатором CVE-2015-1701. Уязвимость присутствует в драйвере Win32k.sys в составе Windows Server 2003 — Windows 7. Для исправления этой уязвимости было выпущено обновление MS15-051. Она использовалась в направленных кибератаках на государственные учреждения США совместно с другой RCE-уязвимостью Flash Player для обхода sandbox браузеров.

Microsoft обновила свои продукты, закрыв в них большое количество уязвимостей. Всего было выпущено 4 обновления со статусом Critical и 10 со статусом Important. Обновлению подверглись ПО SQL Server, веб-браузер Internet Explorer, различные компоненты Windows и Office. Обновление MS15-065, о котором мы уже писали, исправляет 29 уязвимостей во всех версиях браузера Internet Explorer, включая, 0day RCE уязвимость CVE-2015-2425 в IE11 (Hacking Team 0day), которая, по данным MS, уже эксплуатируется itw.



Компания также закрыла другую 0day LPE уязвимость в Windows (CVE-2015-2387), эксплойт для которой находился в распоряжении Hacking Team. Мы писали про нее ранее, уязвимость присутствует в системном компоненте atmfd.dll (Adobe Type Manager Font Driver) и позволяет повышать привилегии атакующего в системе. Уязвимость была закрыта обновлением MS15-077. Работающая версия эксплойта гуляет по сети и уязвимости присвоен статус «exploited itw».

Компания Microsoft выпустила security-обновление MS15-085, которое закрывает опасную LPE уязвимость CVE-2015-1769 (Mount Manager Elevation of Privilege Vulnerability). Уязвимость присутствует на клиентских и серверных версиях Windows, начиная с Windows Vista, и заканчивая Windows 10. Она относится к типу Stuxnet-like-уязвимостей и срабатывает при подключении к компьютеру съемного диска. Для эксплуатации, в корне съемного диска должны быть расположены специальным образом сформированный файл или файлы (symbolic links).



Обновлению подлежат значительное количество системных файлов Windows (Windows 8.1+), включая, драйвер монтирования дисков и ядро ОС: Mountmgr.sys, Ntdll.dll, Ntoskrnl.exe. Уязвимость позволяет атакующим запускать свой код с носителя, причем с системными привилегиями SYSTEM. Видимо, обновлению не присвоен уровень серьезности Critical лишь потому, что эксплуатация может быть выполнена только за счет физического доступа к ПК, т. е. с использованием съемного носителя.