Обновления Microsoft за декабрь 2013 г.: патч критической 0-day уязвимости, эксплуатируемой «в дикой природе»

В этом месяце Microsoft выпустил одиннадцать бюллетеней безопасности – с MS13-096 по MS13-106. Пять из них имеют рейтинг «критически важных», ещё шесть – «важные». В первую очередь следует установить три обновления из критически важных: GDI+ (MS13-096), Internet Explorer (MS13-097), and Scripting Runtime (MS13-099).

Некоторые  из этих уязвимостей активно эксплуатировались в ходе целевых атак по всему миру; известно, что одна из них находится «в дикой природе» не менее шести месяцев.

Обновление GDI+ закрывает уязвимость CVE-2013-3906, связанную с нарушением целостности оперативной памяти. Продукты «Лаборатории Касперского» детектируют её как Exploit.Win32.CVE-2013-3906.a. В «дикой природе» мы наблюдали небольшое количество вариантов эксплоитов к этой уязвимости в виде «битого» TIFF-файла, все из них – бэкдоры-дропперы, такие как Citadel, бот BlackEnergy, PlugX, Taidoor, Janicab, Solar, и Hannover. Анализ профиля жертв и инструментария, использованного при проведении этих атак, позволяют предположить, что в дело вовлечен широкий круг киберпреступников (их активность прослеживается с июля этого года), и широкая цепь распространения, благодаря которой эксплоит разошелся по всему миру. Учитывая широкую область применения и разнообразие источников, эта уязвимость может обойти CVE-2012-0158 по использованию в целевых атаках.

Бюллетень безопасности для Internet Explorer исправляет семь разных уязвимостей, связанных с повышением привилегий и нарушением целостности оперативной памяти. Каждая из них затрагивает версии Internet Explorer –  от Internet Explorer 6 под Windows XP SP3 до Internet Explorer 11 под Windows Server 2012 R2 и Windows RT 8.1. Мы ожидаем, что эксплоиты к некоторым из этих уязвимостей будут включены в состав «коммерческих» эксплоит-паков.

Наконец, в Обработчике сценариев Windows существует ещё одна критическая уязвимость типа use-after-free (использование освобождённой памяти), которая делает возможным удаленное исполнение кода во всех существующих версиях Windows, при этом атаки возможны через любой из популярных веб-браузеров. Установите обновление!

Более подробная информация об обновлениях безопасности доступна на сайте Microsoft.