11 февраля, компания Microsoft выпустила набор февральских обновлений безопасности для Microsoft Windows, Internet Explorer, .NET Framework и Forefront Protection for Exchange. Набор состоит из семи бюллетеней, закрывающих 31 уязвимость. Четыре бюллетеня носят критический статус, закрываемые ими уязвимости позволяли выполнить произвольный программный код без вмешательства пользователя. Наибольшее число уязвимостей устраняет накопительное обновление MS14-010 для всех версий веб-браузера Internet Explorer. Кроме 22 уязвимостей, вызывающих повреждение памяти веб-браузера, бюллетень MS14-010 описывает возможности повышения привилегий (CVE-2014-0268) и кросс-доменного раскрытия данных (CVE-2014-0293). Несмотря на это, наиболее опасной уязвимостью для ОС Windows 7, 2008 R2, 8, Server 2012 и RT является CVE-2014-0263, описываемая бюллетенем MS14-007 (уязвимость функций системного компонента Direct2D). Также, возможность повреждения памяти и выполнения произвольного программного кода (CVE-2014-0271) была устранена в библиотеках функций VBScript бюллетенем MS14-011. Менее опасная, но не менее критичная уязвимость CVE-2014-0294 устранена в модуле обеспечения безопасности Forefront Protection 2010 почтового сервера Exchange. Устраняемая уязвимость позволяла выполнить произвольный программный код в ходе проверки специально сформированного сообщения электронной почты. Таким образом, у злоумышленников была возможность выполнения произвольного программного кода практически на любом корпоративном сервере, использующем уязвимые версии программных продуктов Microsoft. "Важные" бюллетени устраняют возможность раскрытия локальной информации через уязвимость CVE-2014-0266 библиотеки функций Microsoft XML Core Services версии 3.0; повышения привилегий через уязвимости функций Microsoft .NET Framework, в том числе с возможностью обхода ASLR (CVE-2014-0295); вызова отказа от обслуживания приложений, использующих Microsoft ASP.NET (CVE-2014-0253), а также протокол IPv6 - уязвимость CVE-2014-0254. Учитывая опасность критических уязвимостей, разработчики Microsoft рекомендуют произвести немедленное обновление всех уязвимых компонентов. Обновления доступны на веб-ресурсах поддержки компании Microsoft и через систему Автоматического обновления.
Источник