Ноябрьское обновление безопасности от Microsoft

14/11/2012 14:23

Компания Microsoft выпустила очередной пакет ежемесячных обновлений безопасности своих программных продуктов. Ноябрьское обновление состоит из 6 бюллетеней безопасности, устраняющих 17 уязвимостей в ОС Windows, веб-браузере Internet Explorer, библиотеках .NET Framework, табличном редакторе Microsoft Excel и веб-сервере Microsoft IIS. Обновление носит критический характер, так как 5 бюллетеней описывают уязвимости, связанные с удаленным выполнением программного кода, при этом 4 из них позволяют произвести это без ведома пользователя. Примечателен тот факт, что обновления устраняют критические уязвимости и в новой ОС Windows 8 и RT. Это обстоятельство говорит о том, что новые ОС ничем не отличаются от своих предшественников и используют большое количество общих компонентов, составляющих основу ОС Windows.
Накопительное обновление MS12-071 для веб-браузера Internet Explorer 9 устраняет 3 критических уязвимости, связанных с недостаточным контролем памяти при работе с объектами CFormElement, CTreePos и CTreeNode. Отсутствие контроля за целочисленными переменными в компонентах Windows Briefcase (Портфель Windows) стали причиной двух критических уязвимостей (CVE-2012-1527 и CVE-2012-1528) во всех текущих версиях версиях ОС семейства Windows, кроме серверных ОС, где данный компонент отсутствует. Накопительное обновление MS12-074 для библиотек .NET Framework содержит исправление 5 уязвимостей. Наиболее опасная уязвимость CVE-2012-4776 связана с небезопасным получением настроек прокси-сервера с последующим выполнением JavaScript-кода. Сразу 3 уязвимости исправлены в драйверах ядра ОС Windows, две из которых могут быть использованы для повышения привилегий, а одна (CVE-2012-2897) для выполнения произвольного программного кода через ошибки обработки TrueType-шрифтов. Среди офисных компонентов Microsoft Office на этот раз уязвимым оказался Excel, именно в нем были исправлены 4 уязвимости, позволяющих выполнить произвольный программный код при открытие специально сформированного документа. Последний наименее опасный бюллетень безопасности MS12-073, устраняет возможность раскрытия информации в веб-сервере Microsoft IIS. Уязвимость CVE-2012-2531 связана с раскрытием паролей через журнал событий, а CVE-2012-2532 - позволяет выполнить ограниченный набор команд FTP перед переключением сеанса на протокол TLS.
Все обновления доступны на веб-сайте Microsoft Download Center и систему Автоматического обновления ОС Windows. Учитывая критических характер устраняемых уязвимостей, данное обновление рекомендуется установить в кратчайшие сроки.
Подробности