Обновления безопасности Microsoft за октябрь: старые версии Internet Explorer, Office и Silverlight полны уязвимостей

Обновления безопасности Microsoft за октябрь 2013 г. включают длинный список исправлений для уязвимостей, которые потенциально могут привести к порче данных в памяти компьютера. Эти уязвимости в первую очередь касаются не последних, а более ранних версий программного обеспечения. Для большинства пользователей Windows интерес могут представить патчи к критическим уязвимостям в Internet Explorer, нескольких драйверах Windows и веб-установщике Microsoft .NET Framework – уязвимость в последнем актуальна даже последних версий  Windows 8 и Windows Server 2012. Для системных администраторов в организациях может также быть актуальным патч MS13-083 к уязвимости в Windows Common Control Library, из-за которой на 64-битных системах возможна эксплуатация серверных веб-приложений, созданных при помощи ASP.NET. Патчи с MS13-080 по MS13-087 включают в себя четыре критически важных и четыре важных бюллетеня, закрывающих 26 уязвимостей.

Список обновлений по большей части похож на сентябрьский. Новостью месяца стало то, что уязвимости CVE-2013-3893 и CVE-2013-3897 в Internet Explorer эксплуатируются в ходе целевых атак. Мы следим за ситуацией в Японии и Юго-Восточной Азии, где киберпреступники при проведении атак успешно используют эксплойты к уязвимостям в Internet Explorer версий 8 и 9.

Немного удивляет то, что уязвимости в Microsoft Office, затрагивающие Office 2003 и 2007 и закрываемые патчами MS13-084, MS13-085, и MS13-086, получили всего лишь рейтинг «важные». Это тем более странно, если учесть, что за последний год Microsoft Excel и Word были в лидерах в качестве векторов атаки с применением направленного фишинга (spearphishing). Из-за этих уязвимостей на компьютерах, на которых пользователя обманом заставляют открыть вредоносное вложение к письму, становится возможным удаленное исполнение кода.

Интересна и необычна уязвимость в Windows Common Control Library, которая затрагивает только 64-битные веб-приложения, созданные при помощи ASP.NET: киберпреступники могут отправлять запросы о предварительной аутентификации веб-приложениям, пытаясь таким образом эксплуатировать уязвимость CVE-2013-3195, делающей возможным удаленное выполнение кода на компьютере-жертве. В результате на веб-серверах системных администраторов, следующих «лучшим практикам», может быть запущен процесс с правами локального пользователя.

Подробности октябрьских обновлений доступны на сайте Microsoft. Microsoft Windows Update – это простой и удобный инструмент для ежемесячного обновления компонентов Windows на вашем компьютере. Если вы используете программное обеспечение Microsoft, пожалуйста обновите его сейчас.