10 декабря, компания Microsoft выпустила заключительный в этом году набор обновлений безопасности для своих программных продуктов. Декабрьское обновление включает в себя 11 бюллетеней безопасности, закрывающих 24 уязвимости в Microsoft Windows, Internet Explorer, Office и Exchange. 6 бюллетеней описывают возможность выполнения произвольного программного кода, при этом пять из них - позволяют произвести атаку без подтверждения со стороны пользователя. Критичные бюллетени MS13-096 (GDI+; уязвимость CVE-2013-3906) и MS13-105 (Exchange Server; уязвимости CVE-2013-5763, CVE-2013-5791 и CVE-2013-1330) устраняют уязвимости, к которым были обнаружены публично распространяемые эксплоиты и проводились целевые атаки. Критический статус имеет накопительное обновление MS13-097 для веб-браузера Internet Explorer: 5 уязвимостей, вызывающих повреждение памяти и выполнение произвольного программного кода, а также 2 уязвимости повышения привилегий. Разработчики Microsoft обращают внимание на бюллетень MS13-099, уязвимость CVE-2013-5056 - выполнение произвольного программного кода через ошибки в библиотеках функций Windows Script. Злоумышленники могли использовать эту уязвимость для выполнения произвольного программного кода через специально сформированный веб-скрипт. Не менее опасной является уязвимость бюллетеня MS13-098 - ошибки системной функции WinVerifyTrust (CVE-2013-3900), вызывающие выполнение произвольного кода при запуске специально сформированного приложения.
Различные способы повышения привилегий были ликвидированы в следующих программных компонентах: Microsoft SharePoint Server (MS13-100); Local Remote Procedure Call (LRPC) Client (MS13-102); ASP.NET SignalR (MS13-103); и модуле ядра ОС Windows - "Win32k.sys" (MS13-101). Между тем, уязвимость CVE-2013-5065 (KB2914486), используемая для повышения привилегий в Windows XP и Server 2003 через службу NDProxy, останется доступной для использования. В качестве временного решения этой проблемы, Microsoft рекомендует отключить эту службу.
Бюллетень MS13-104 описывает возможность перехвата маркера доступа к веб-сервисам SharePoint или другим компонентам Microsoft Office - CVE-2013-5054. Еще одна уязвимость (CVE-2013-5057, бюллетень MS13-106) компонентов Microsoft Office 2007/2010, позволяла обойти функции безопасности из-за некорректной реализации функций ASLR-защиты.
Наблюдатели отмечают еще одно необязательное обновление, касающееся драйверов видео-адаптеров. Интересен тот факт, что одновременно были обновлены драйвера всех основных поставщиков, в том числе nVidia, ATI и Intel. Эксперты предполагают, что таким образом была закрыта кросс-платформенная уязвимость, применяемая в многоуровневых атаках. Обновления доступны на веб-сайтах технической поддержки компании Microsoft и через систему Автоматического обновления.
Подробности