Microsoft и Adobe выпустили обновления для своих продуктов

    Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (9 мая) секьюрити-фиксы покрывают 33 уникальных уязвимости (2 исправления со статусом Critical и 8 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Как и в прошлые месяцы обновления нацелены на исправление Critical уязвимостей в браузере Internet Explorer и имеют тип Remote Code Execution. Одно из таких обновлений закрывает уязвимость во всех версиях браузера, начиная с 6-й версии и заканчивая новейшей IE 10. Другое Critical исправление ориентировано на закрытие flaw в IE 8. 0day эксплойт для этой уязвимости был недавно использован для организации атаки на правительственные учреждения США с последующей доставкой вредоносного кода. Для применения патчей IE требуется перезагрузка.



    Одно из Critical обновлений (MS13-037) исправляет 10 уязвимостей в Internet Explorer (версии 6-10). Для эксплуатирования этих уязвимостей используется техника use-after-free при доступе кода браузера к уже удаленному объекту в памяти, что может повлечь за собой порчу памяти (memory corruption) с последующим исполнением произвольного кода в контексте текущего пользователя. К ним относятся: CVE-2013-0811, CVE-2013-1306, CVE-2013-1307, CVE-2013-1308, CVE-2013-1309, CVE-2013-1310, CVE-2013-1311, CVE-2013-1312, CVE-2013-1313, CVE-2013-2551.

    Другое Critical обновление (MS13-038) также устраняет уязвимость, которая эксплуатируется методом use-after-free, но только для IE8. Мы упоминали, что эксплойт для этой уязвимости был использован в атаках на правительственные учреждения США, поэтому уязвимость имеет статус is-being-exploited-in-the-wild.

    Отметим, что Microsoft уже 8-го мая выпустили специальный инструмент Fix It tool, который предназначен для исправления уязвимости в IE8.



    Два Important обновления нацелены на исправление уязвимостей в драйверах режима ядра. MS13-039 регламентирует исправление уязвимости CVE-2013-1305 в драйвере http.sys для Windows 8, Server 2012, RT и имеет тип Denial of Service. Уязвимость присутствует в коде драйвера, который неправильно обрабатывает некоторые HTTP-заголовки. В результате атакующий может вызвать бесконечный цикл в процессе обработки HTTP-заголовков, при их доставке драйверу http.sys, что является серьезной проблемой как для сервера, так и для клиента.

    Второе Important обновление для драйверов режима ядра (MS13-046) относится к таким компонентам как драйвер DirectX (dxgkrnl.sys) и драйвер подсистемы Windows (win32k.sys). В случае с dxgkrnl.sys речь идет об исправлении уязвимости CVE-2013-1332, которая относится к типу Elevation of Privelege и касается неправильной работы кода драйвера с объектами в памяти. Данные уязвимости присутствуют во всех версиях ОС начиная с Windows XP и заканчивая Windows 8, Server 2012 и RT. В случае с win32k.sys речь идет об уязвимостях CVE-2013-1333 и CVE-2013-1334, которые так же имеют тип Elevation of Privelege.

    В целом исправления ориентированы на такие продукты как Microsoft Windows, Office, .NET Framework, Windows Essentials и Microsoft Lync.

    Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).

    Компания Adobe выпустила обновления для следующих своих продуктов: ColdFusion (hotfix), Adobe Flash Player, Adobe Reader и Acrobat.

    Обновления для Adobe Flash Player исправляют в общей сложности 13 уязвимостей, которые могут привести к исполнению произвольного кода.



    Мы рекомендуем пользователям воспользоваться проверкой используемой вашим браузером версии Flash Player, для этого можно воспользоваться офиц. источником Adobe здесь или здесь. Заметьте, что такие браузеры как Google Chrome и Internet Explorer 10 автоматически обновляются с выходом новой версии Flash Player. Вы можете получить информацию по обновлению Flash для вашего браузера по этой ссылке.

    Актуальные версии Flash Player для браузеров:



    Обновления для Adobe Reader и Acrobat закрывают 27 уязвимостей, большинство из которых могут привести к исполнению произвольного кода при просмотре специальным образом сформированного PDF. К ним относятся: CVE-2013-2718, CVE-2013-2719, CVE-2013-2720, CVE-2013-2721, CVE-2013-2722, CVE-2013-2723, CVE-2013-2725, CVE-2013-2726, CVE-2013-2731, CVE-2013-2732, CVE-2013-2734, CVE-2013-2735, CVE-2013-2736, CVE-2013-3337, CVE-2013-3338, CVE-2013-3339, CVE-2013-3340, CVE-2013-3341.



    Одно из обновлений направлено на устранение уязвимости типа use-after-free (CVE-2013-2550), которая может быть использована для обхода режима песочницы (sandbox mode) в Adobe Reader. Исправлению так же подлежат уязвимости, приводящие к переполнению стека (CVE-2013-2724) и буфера памяти (CVE-2013-2730, CVE-2013-2733)

    Версии ПО, подлежащие обновлению.



    Пользователи Adobe Reader и Acrobat имеют функцию автообновления. Для обновления вручную воспользуйтесь этой рекомендацией.

    В случае с ColdFusion hotfix направлен на устранение двух уязвимостей: CVE-2013-1389 и CVE-2013-3336.

    Уязвимость CVE-2013-3336 позволяет неавторизованным пользователям получать файлы с удаленного сервера, кроме этого она имеет статус is-being-exploited-in-the-wild, т. е. данная уязвимость уже эксплуатируется злоумышленниками.


    be secure.
    ESET NOD32
    132,00
    Компания
    Поделиться публикацией

    Похожие публикации

    Комментарии 13

      0
      Это так совпало, что они вместе выпустили или какой-то скрытый смысл (поздравление с днём фрилансера)?
        0
        Скорее всего специально выпускают одновременно с Microsoft, чтобы у клиентов было меньше мороки с обновлением.
        Adobe вообще молодцы, делают <a href="">всё возможное для упрощения использования продуктов в корпоративной среде.
          +1
          Майкрософт выпускает обновления каждый второй вторник месяца.
            0
            Даже если найдут 0-day уязвимость, которой машины правительства США атакуют? Если завтра найдут критический 0-day в IE 6-10 или просто в Windows XP-8, закроют только через месяц, я правильно понимаю?
              0
              0day чинятся тоже не сразу, а Майкрософт предпочитают всё перепроверять. Но в особых случаях могут и раньше выпустить.
                0
                Как-то это совсем не весело, когда критические уязвимости висят больше 10 дней.
                0
                Для критичных уязвимостей сейчас вроде делают FixItTool.
                  0
                  А чем отличается он от простых обновлений? Тем, что надо сначала узнать об уязвимости, потом искать нужный FixItTool, качать и ставить ручками? Такое же обновление, только о нём надо самостоятельно узнавать и ставить вручную?
                  +1
                  Уязвимости с remote execution закрывают весьма оперативно, в этом случае обновление приедет отдельно от основного набора.
              –1
              Я не пользуюсь ОС Windows и ранее даже когда пользовался никогда не читал лицензионное соглашение. Но интересно, если по вине Microsoft (из-за дыры в безопасности) утекли очень важные данные, из-за утечки фирма понесла убытки, а такие случаи я думаю были в истории, эти убытки покроет Microsoft??
                0
                Нет. Для обычных клиентов…
                  0
                  Т.е в лицензионном соглашении написано примерно так: Корпорация Microsoft не несет никакой ответственности за данное программное обеспечение, любые проблемы с безопасностью списать на человеческий фактор. ОС windows используется Вами на свой страх и риск?? Плохо конечно. Получается тратишь деньги просто за какой то продукт, в котором ты абсолютно не уверен.
                    0
                    В любом базовом соглашении так написано. И не только у МС. Но для крупных клиентов там совсем другие условия бывают, поэтому корпы так и любят их.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое