Microsoft выпустила обновления для своих продуктов, исправив уязвимости в ядре и системных компонентах Windows, а также .NET Framework и Office. Всего исправлению подлежит 49 уязвимостей в рамках 6 критических и 5 важных обновлений. Одно из важных обновлений MS16-090 исправляет шесть уязвимостей в печально известном драйвере GUI-подсистемы Windows — win32k.sys. Уязвимости относятся к типу Local Privilege Escalation (LPE) и могут быть использованы атакующими для поднятия своих прав в системе до уровня SYSTEM, что позволит несанкционированно исполнить код напрямую в режиме ядра. Обновление актуально для Windows Vista+.
Другое важное обновление MS16-094 исправляет уязвимость типа Security Feature Bypass (SFB) с идентификатором CVE-2016-3287 в механизме безопасности Windows под названием Secure Boot. Secure Boot используется Windows в качестве гарантии загрузки легитимного UEFI-кода на самом раннем этапе загрузки системы, что гарантирует пользователю отсутствие какого-либо вредоносного кода, который может быть запущен еще до загрузки самой ОС. С использованием уязвимости атакующий также может отключить настройку проверки в системе цифровой подписи у драйверов, что может использоваться для загрузки в память драйверов с тестовой цифровой подписью. Исправление актуально для Windows 8.1+.
Обновление MS16-084 исправляет критические RCE-уязвимости во всех поддерживаемых версиях веб-браузера Internet Explorer 9-11 на Windows Vista+. Эксплуатация уязвимостей возможна с использованием специальным образом сформированной веб-страницы, при этом пользователю нужно открыть веб-страницу в веб-браузере. Critical.
Обновление MS16-085 исправляет критические RCE-уязвимости в веб-браузере Edge на Windows 10. Как и в предыдущем случае, эксплуатация уязвимостей возможна с использованием специальным образом сформированной веб-страницы. Critical.
Обновление MS16-086 исправляет две критические RCE-уязвимости в движках VBScript.dll и JScript.dll с идентификаторами CVE-2016-3204 и CVE-2016-3204. С использованием вредоносного содержимого атакующие могут удаленно выполнить в системе необходимый для них код на веб-браузерах Internet Explorer и Edge, которые используют эти библиотеки для содержимого VBScript и JavaScript. Critical.
Обновление MS16-087 исправляет две критических уязвимости с идентификаторами CVE-2016-3238 и CVE-2016-3239 в компоненте диспетчера печати (print spooler) на Windows Vista+. Первая уязвимость относится к типу Remote Code Execution и может быть использована атакующими для удаленного исполнения кода при условии присутствия у них возможности провести MitM-атаку в сети, вторая относится к типу Local Privelege Escalation и может быть использована для получения прав SYSTEM. Удаленное исполнение кода возможно как на уязвимом клиенте, так и на сервере печати, атакующий также может создать фальшивый принтер в сети. Обновлению подлежат следующие системные файлы: Localspl.dll, Winprint.dll, Ntprint.dll и др. Critical.
Обновление MS16-088 исправляет различные уязвимости в MS Office 2007+, большинство из которых относится к типу RCE. Эти уязвимости предоставляют атакующему возможность удаленно исполнить код в системе с уязвимой версией Office с помощью специальным образом сформированного файла. Одна из уязвимостей с идентификатором CVE-2016-3279 относится к типу Security Feature Bypass (SFB) и может использоваться атакующими для обхода режима защищенного просмотра (Protected View) Office. Такой режим используется Office при открытии потенциально вредоносных объектов, полученных из интернета и отключает для запущенного процесса приложения какие-либо привилегии. Critical.
Обновление MS16-089 исправляет уязвимость CVE-2016-3256 типа Information Disclosure в компоненте Secure Kernel Mode на Windows 10. Уязвимость может использоваться атакующими для несанкционированного получения приватной информации о системе. Important.
Обновление MS16-090 исправляет шесть уязвимостей в драйвере win32k.sys на Windows Vista+. Пять из этих уязвимостей относятся к типу LPE и позволяют атакующим поднять свои привилегии в системе до уровня SYSTEM путем локального запуска эксплойта в системе. Уязвимость с идентификатором CVE-2016-3251 относится к типу Information Disclosure и позволяет атакующим раскрыть важные адреса в системном виртуальном адресном пространстве. Important.
Обновление MS16-091 исправляет одну уязвимость типа Information Disclosure с идентификатором CVE-2016-3255 в ПО .NET Framework 2.0+ на Windows Vista+. Уязвимость присутствует в коде обработки входных аргументов XML т. н. XML External Entity (XXE) парсере, который некорректно обрабатывает некоторые значения, что может использоваться атакующими для чтения любого файла в системе. Для эксплуатации атаки злоумышленникам нужно создать специальным образом сформированный XML-файл и загрузить его в веб-приложение. Important.
Обновление MS16-092 исправляет две уязвимости в ядре Windows 8.1+. Первая уязвимость с идентификатором CVE-2016-3258 имеет тип SFB и может быть использована атакующими для модификации файлов, которые недоступны приложению эксплойта с низким уровнем доступа в системе. Это достигается за счет атаки типа time of check time of use (TOCTOU) при проверке ядром путей к файлам. Вторая уязвимость с идентификатором CVE-2016-3272 относится к типу Information Disclosure и присутствует в коде ядра, который ответственен за обработку исключения page fault (ошибка страницы). Получивший доступ к системе атакующий может таким образом получить доступ к памяти другого процесса. Обновлению подлежит загрузчик Windows — Winload.efi, ядро Ntoskrnl.exe, а также Ntdll.dll, Winresume.efi, и др. Important.
Обновление MS16-093 доставляет в систему обновленную версию Adobe Flash Player, которая используется веб-браузерами IE и Edge (APSB16-25).
Обновление MS16-094 исправляет одну уязвимость типа SFB с идентификатором CVE-2016-3287 в механизме безопасности Secure Boot. С использованием уязвимости атакующие могут обойти настройку безопасности загрузки прошивки Secure Boot, а также отключить в системе проверку цифровой подписи у драйверов и компонентов режима ядра. Для разных версий Windows обновлению могут быть подвергнуты различные системные файлы, включая, загрузчик Winload.efi, криптографическая библиотека Code Integrity Module (ci.dll) и др. системные файлы. Important.
Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
be secure.
Другое важное обновление MS16-094 исправляет уязвимость типа Security Feature Bypass (SFB) с идентификатором CVE-2016-3287 в механизме безопасности Windows под названием Secure Boot. Secure Boot используется Windows в качестве гарантии загрузки легитимного UEFI-кода на самом раннем этапе загрузки системы, что гарантирует пользователю отсутствие какого-либо вредоносного кода, который может быть запущен еще до загрузки самой ОС. С использованием уязвимости атакующий также может отключить настройку проверки в системе цифровой подписи у драйверов, что может использоваться для загрузки в память драйверов с тестовой цифровой подписью. Исправление актуально для Windows 8.1+.
Обновление MS16-084 исправляет критические RCE-уязвимости во всех поддерживаемых версиях веб-браузера Internet Explorer 9-11 на Windows Vista+. Эксплуатация уязвимостей возможна с использованием специальным образом сформированной веб-страницы, при этом пользователю нужно открыть веб-страницу в веб-браузере. Critical.
Обновление MS16-085 исправляет критические RCE-уязвимости в веб-браузере Edge на Windows 10. Как и в предыдущем случае, эксплуатация уязвимостей возможна с использованием специальным образом сформированной веб-страницы. Critical.
Обновление MS16-086 исправляет две критические RCE-уязвимости в движках VBScript.dll и JScript.dll с идентификаторами CVE-2016-3204 и CVE-2016-3204. С использованием вредоносного содержимого атакующие могут удаленно выполнить в системе необходимый для них код на веб-браузерах Internet Explorer и Edge, которые используют эти библиотеки для содержимого VBScript и JavaScript. Critical.
Обновление MS16-087 исправляет две критических уязвимости с идентификаторами CVE-2016-3238 и CVE-2016-3239 в компоненте диспетчера печати (print spooler) на Windows Vista+. Первая уязвимость относится к типу Remote Code Execution и может быть использована атакующими для удаленного исполнения кода при условии присутствия у них возможности провести MitM-атаку в сети, вторая относится к типу Local Privelege Escalation и может быть использована для получения прав SYSTEM. Удаленное исполнение кода возможно как на уязвимом клиенте, так и на сервере печати, атакующий также может создать фальшивый принтер в сети. Обновлению подлежат следующие системные файлы: Localspl.dll, Winprint.dll, Ntprint.dll и др. Critical.
Обновление MS16-088 исправляет различные уязвимости в MS Office 2007+, большинство из которых относится к типу RCE. Эти уязвимости предоставляют атакующему возможность удаленно исполнить код в системе с уязвимой версией Office с помощью специальным образом сформированного файла. Одна из уязвимостей с идентификатором CVE-2016-3279 относится к типу Security Feature Bypass (SFB) и может использоваться атакующими для обхода режима защищенного просмотра (Protected View) Office. Такой режим используется Office при открытии потенциально вредоносных объектов, полученных из интернета и отключает для запущенного процесса приложения какие-либо привилегии. Critical.
Обновление MS16-089 исправляет уязвимость CVE-2016-3256 типа Information Disclosure в компоненте Secure Kernel Mode на Windows 10. Уязвимость может использоваться атакующими для несанкционированного получения приватной информации о системе. Important.
Обновление MS16-090 исправляет шесть уязвимостей в драйвере win32k.sys на Windows Vista+. Пять из этих уязвимостей относятся к типу LPE и позволяют атакующим поднять свои привилегии в системе до уровня SYSTEM путем локального запуска эксплойта в системе. Уязвимость с идентификатором CVE-2016-3251 относится к типу Information Disclosure и позволяет атакующим раскрыть важные адреса в системном виртуальном адресном пространстве. Important.
Обновление MS16-091 исправляет одну уязвимость типа Information Disclosure с идентификатором CVE-2016-3255 в ПО .NET Framework 2.0+ на Windows Vista+. Уязвимость присутствует в коде обработки входных аргументов XML т. н. XML External Entity (XXE) парсере, который некорректно обрабатывает некоторые значения, что может использоваться атакующими для чтения любого файла в системе. Для эксплуатации атаки злоумышленникам нужно создать специальным образом сформированный XML-файл и загрузить его в веб-приложение. Important.
Обновление MS16-092 исправляет две уязвимости в ядре Windows 8.1+. Первая уязвимость с идентификатором CVE-2016-3258 имеет тип SFB и может быть использована атакующими для модификации файлов, которые недоступны приложению эксплойта с низким уровнем доступа в системе. Это достигается за счет атаки типа time of check time of use (TOCTOU) при проверке ядром путей к файлам. Вторая уязвимость с идентификатором CVE-2016-3272 относится к типу Information Disclosure и присутствует в коде ядра, который ответственен за обработку исключения page fault (ошибка страницы). Получивший доступ к системе атакующий может таким образом получить доступ к памяти другого процесса. Обновлению подлежит загрузчик Windows — Winload.efi, ядро Ntoskrnl.exe, а также Ntdll.dll, Winresume.efi, и др. Important.
Обновление MS16-093 доставляет в систему обновленную версию Adobe Flash Player, которая используется веб-браузерами IE и Edge (APSB16-25).
Обновление MS16-094 исправляет одну уязвимость типа SFB с идентификатором CVE-2016-3287 в механизме безопасности Secure Boot. С использованием уязвимости атакующие могут обойти настройку безопасности загрузки прошивки Secure Boot, а также отключить в системе проверку цифровой подписи у драйверов и компонентов режима ядра. Для разных версий Windows обновлению могут быть подвергнуты различные системные файлы, включая, загрузчик Winload.efi, криптографическая библиотека Code Integrity Module (ci.dll) и др. системные файлы. Important.
Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
be secure.
