Компания Microsoft представила первое в этом году обновление безопасности для своих продуктов - ОС Windows и Microsoft Anti-Cross Site Scripting (AntiXSS). Представленное обновление содержит 7 бюллетеней безопасности, закрывающих 8 уязвимостей. Критическое обновление MS12-004 закрывает сразу две уязвимости в мультимедиа расширение Windows Media. Уязвимость CVE-2012-0003 связана с недостаточной проверкой входных данных библиотекой Windows Multimedia Library при обработке MIDI-файла, что позволяет злоумышленникам, используя специально сформированный файл этого типа, выполнить произвольный программный код и получить полный контроль над системой. Другая уязвимость CVE-2012-0004, бюллетеня безопасности MS12-004 менее критична, но также позволяет злоумышленникам выполнить произвольный программный код с правами текущего пользователя через ошибки в обработке медиа-файлов системным компонентом DirectShow. Этим уязвимостям в разной степени подвержены все ОС семейства Windows, но их использование наиболее критично для пользователей ОС Windows XP, Vista и Server 2003/2008; наименее - ОС Windows 7 и Server 2008 R2. Бюллетень безопасности MS12-007 закрывает уязвимость CVE-2012-0007 в библиотеках защиты от XSS-атак - AntiXSS Library V3.x и AntiXSS Library V4.0. Благодаря специально сформированному HTML-файлу или веб-странице, через эту уязвимость, злоумышленники могут произвести XSS-атаку, направленную на раскрытие информации пользователя. Оставшиеся бюллетени безопасности устраняют уязвимости, не представляющие критической опасности для пользователей, однако они могут быть использованы в составе многоуровневых хакерских атак. Так, бюллетень MS12-006 устраняет уязвимость CVE-2011-3389 в Windows Secure Channel (SChannel), приводящей к возможности раскрытия пользовательской информации, передаваемой по HTTP-протоколу с использованием механизмов шифрования SSL 3.0 и TLS 1.0; бюллетень MS12-005 устраняет уязвимость CVE-2012-0013 в Windows Packager, позволяющей выполнить произвольный программный код с использованием ClickOnce-приложения, внедренного в файлы Microsoft Office; бюллетень MS12-003 закрывает уязвимость CVE-2012-0005, открывающей возможность повышения привилегий через Client/Server Run-time Subsystem (CSRSS); бюллетень MS12-001 устраняет уязвимость CVE-2012-0001, нарушающей работу механизма SafeSEH ядра ОС Windows (Ntdll.dll), обеспечивающего защиту памяти приложений, скомпилированных с использованием Microsoft Visual C++ .NET 2003; бюллетень безопасности MS12-002 закрывает в ОС Windows XP и Server 2003 уязвимость CVE-2012-0009, позволяющей вызвать открытие и выполнение произвольного файла из-за недостаточной проверки путей утилитой Windows Object Packager, обрабатывающей внедренные в исполняемый файл объекты. Обновления доступны на веб-сайте компании Microsoft и через систему Автоматического обновления.
Подробности