Компания Microsoft выпустила два обновления безопасности, устраняющие 8 уязвимостей в Windows и в продуктах Microsoft Office. Оба обновления имеют статус «важных», т.е. для эксплуатации данных уязвимостей и запуска удаленного кода требуется некоторое участие пользователя.
Примечательно, что оба патча этого месяца закрывают уязвимости, эксплуатация которых предполагает использование методов социальной инженерии без вовлечения сетевых методов атаки. К сожалению, ни в одном из выпущенных обновлений не устраняется уязвимость Advisory 981169 на языке VBScript, относящаяся к Internet Explorer. Эта уязвимость эксплуатируется следующим образом: при посещении специально созданной странички пользователь видит диалоговое окно, где ему предлагается нажать клавишу F1, в результате чего происходит заражение.
Обновление MS10-016 выпущено для Windows XP SP2, SP3, Vista SP1, SP2 и Windows 7 (32- и 64-битной версий). Этот патч закрывает уязвимость в программе Windows Movie Maker версий 2.1 и 6.0, поставляемой в комплекте с Windows XP и Vista. Версия 2.6 программы, доступная в сети для бесплатного скачивания, также уязвима. Пользователям, ранее установившим эту версию программы под любой из поддерживаемых версий Windows, включая Windows 7, предлагается установить обновление безопасности. В случае Windows 7 Movie Maker 2.6 поставляется не всегда; если эта программа у вас отсутствует, уязвимости также нет, и устанавливать обновление не нужно. Пользователи, у которых программа установлена, могут заразиться, открыв специально созданный файл проекта Movie Maker.
MS10-016 также затрагивает Microsoft Producer 2003. Программа доступна для бесплатного скачивания, но имеет, согласно утверждению Microsoft, «ограниченное распространение», поэтому на данный момент компания не предлагает обновление, которое закрыло бы имеющуюся в Microsoft Producer 2003 уязвимость. Мне это кажется странным: почему бы не решить проблему, даже если она касается «ограниченного» числа пользователей? Ведь это не просто ошибка в программе, а уязвимость, из-за которой они подвергаются опасности.
Выпущенное исправление отменяет ассоциацию между типом файла проекта и приложением, что не приводит к окончательному устранению уязвимости. Однако Microsoft утверждает, что это создает дополнительный уровень защиты.
MS10-017 закрывает уязвимости, существующие во многих версиях Microsoft Office как для Windows, так и для Mac. В случае Windows затронуты Office XP, 2003 и 2007, поддерживаемые версии Excel Viewer и SharePoint 2007. В случае Mac затронуты версии 2004 и 2008, а также конвертер Open XML-файлов для Mac. Для эксплуатации данных уязвимостей требуется, чтобы пользователь открыл специально созданный файл.
Как обычно, рекомендую всем скачать и установить обновления безопасности при первой же возможности.
Обновления безопасности Microsoft