В ночь на 14 мая, компания Microsoft распространила пакет майских обновлений безопасности для своих программных продуктов. Обновление состоит из 8 бюллетеней безопасности, устраняющих 13 уязвимостей в .NET Framework, Office, SharePoint, Internet Explorer и Windows. Выполнить произвольный программный код позволяли уязвимости, описываемые бюллетенями: MS14-029 (накопительное обновление для Internet Explorer - CVE-2014-1815 и CVE-2014-0310), MS14-022 (множественные уязвимости Microsoft SharePoint Server, в их числе CVE-2014-0251 - выполнение произвольного кода с правами учетной записи службы W3WP, авторизованным пользователем) и MS14-023 (CVE-2014-1808 - получение локального ключа активности онлайн-сервисов Microsoft; CVE-2014-1756 - выполнение произвольного программного кода через модуль проверки китайской грамматики). Несмотря на это, специалисты компании Microsoft рекомендуют обратить внимание и на "важные" бюллетени: MS14-024 (обход ASLR-защиты памяти через ошибки функций библиотеки "MSCOMCTL", входящей в состав Microsoft Office - CVE-2014-1809) и MS14-025 (возможность автоматизированному пользователю получить пароль администратора домена из-за ошибок в правилах групповой политики Active Directory - CVE-2014-1812). Другие "важные" бюллетени устраняют возможности повышения привилегий: CVE-2014-1807 - через ошибки API-функции ShellExecute ОС Windows при сопоставлении типов файлов; CVE-2014-1806 - через ошибки обработки данных "TypeFilterLevel" модулем "Remoting" из набора библиотек функций .NET Framework. Заключительная устраняемая уязвимость CVE-2014-0256 может вызвать отказ от обслуживания сетевого сервиса Internet Small Computer Systems Interface (iSCSI) при обработке специально сформированных пакетов данных, полученных от клиентских систем. Кроме того, компания Microsoft представила несколько плановых обновлений безопасности: KB2960358 - прекращение поддержки RC4-алгоритма в функциях .NET TLS; KB2871997 - устранение уязвимости CVE-2014-0292, путём добавления режима ограниченного администрирования для протокола CredSSP и ужесточения правил проверки подлинности пользователей для клиентских систем Windows 7, 8, Server 2008 R2 и 2012; KB2962824 - отзыв цифровых подписей для четырех сторонних UEFI-модулей, которые могли использоваться для компрометации системы в ходе безопасной загрузки UEFI. Обновления безопасности доступны через систему Автоматического обновления и на веб-сайтах поддержки компании Microsoft.
Источник