Новости

Microsoft исправила множественные уязвимости в своих продуктах

11.12.2015
Microsoft исправила множественные уязвимости в своих продуктах
11.12.2015 в рамках «вторника обновлений» компания Microsoft выпустила 12 бюллетеней безопасности, 8 из которых имеют статус критических (MS15-124, MS15-125, MS15-126, MS15-127, MS15-128, MS15-129, MS15-130, MS15-131).

Бюллетень безопасности Microsoft MS15-124

Бюллетень описывает критические уязвимости в браузере Internet Explorer.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-124.

  2. Описание угрозы:

    Множественные уязвимости нарушения памяти
    Уязвимости удаленного исполнения кода возникают в том случае, если Internet Explorer некорректно работает с объектами в памяти. Эти уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить любой код в контексте текущего пользователя.

    Атакующий может разместить специально созданный сайт, спроектированный для эксплуатации этих уязвимостей в Internet Explorer, а потом убедить пользователя просмотреть сайт. Атакующий также может воспользоваться сайтами, содержащими рекламный контент и контент, предоставляемый пользователями, добавляя специально созданный контент, который может проэксплуатировать эти уязвимости. Однако, во всех случаях, у злоумышленника не будет способа заставить пользователя просмотреть контролируемый контент. Вместо этого злоумышленнику необходимо убедить пользователя произвести действие, например открыть вложение в письме, нажать на ссылку в мессенджере или электронном сообщении, которая переведет пользователя на сайт атакующего.

    Злоумышленник, который успешно проэксплуатировал данные уязвимости, может получить те же права, что и текущий пользователь. Если текущий пользователь авторизовался с административными правами, злоумышленник может получить полный контроль над уязвимой системой. После этого злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, создавать учетные записи с полными пользовательскими правами.

    Системы, в которых Internet Explorer часто используется, такие как рабочие станции и терминальные серверы, наиболее подвержены риску от эксплуатации этих уязвимостей.

    Данное обновление закрывает уязвимости, изменяя способ работы Internet Explorer с объектами в памяти.

    Множественные уязвимости обхода фильтра XSS в браузере Microsoft
    Множественные уязвимости обхода фильтра XSS в браузере Microsoft возникают в том случае, если Internet Explorer включает HTML-атрибут в данных ответа HTTP, которые в остальном отфильтрованы правильно. Уязвимости могут позволить изначально выключенным скриптам выполниться в несоответствующем контексте безопасности, что приведет к разглашению информации.

    Злоумышленник может загрузить на сайт специально созданный контент, спроектированный для эксплуатации уязвимостей. Затем злоумышленнику необходимо убедить пользователя просмотреть контент на сайте, подверженном данной уязвимости. Если пользователь переходит на зараженный сайт, фильтр XSS выключает атрибуты HTML в специально созданном содержимом, создавая условия для исполнения вредоносного скрипта в неправильном контексте безопасности, что приведет к разглашению информации.

    Злоумышленник, который успешно проэксплуатировал эти уязвимости, может выполнить скрипт на системе другого пользователя под прикрытием веб-сайта третьего лица. Такой скрипт может быть запущен в браузере при посещении веб-сайта третьего лица и позволяет выполнять на пользовательской системе любое действие, которое разрешено сайту. Уязвимости могут быть эксплуатированы только в тех случаях, если пользователь нажимал на ссылку с гипертекстом, либо в электронном письме с HTML, а также если посещал сайт злоумышленника или сайт с содержимым, находящимся под контролем злоумышленника.

    Обновление закрывает уязвимости, не давая XSS фильтру в Internet Explorer неправильно выключать HTML атрибуты.

    Уязвимость разглашения информации в машине скриптов
    Уязвимость разглашения информации возникает в случае, если VBScript разглашает содержимое своей памяти, что может предоставить злоумышленнику информацию для дальнейшей компрометации пользовательского программного обеспечения или данных.

    Для эксплуатации этой уязвимости злоумышленнику необходимо знать адрес созданного объекта в памяти. Обновление закрывает уязвимость, изменяя способ работы с объектами в памяти определенных функций.

    Уязвимость нарушения структуры памяти машины скриптов
    Множественные уязвимости удаленного исполнения кода возникают в том случае, если машина обработки VBScript обрабатывает объекты в памяти в Internet Explorer. Уязвимость может нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя.

    Атакующий может разместить в сети Интернет специально созданный веб-сайт, разработанный для эксплуатации данной уязвимости через Internet Explorer, а затем убедить пользователя посетить данный сайт. Также атакующий может вставить элемент ActiveX, использующий движок рендеринга InternetExplorer, в приложение или документ Microsoft Office и убедить пользователя запустить приложение или открыть документ.

    Атакующий, успешно проэксплуатировавший данные уязвимости, получает права текущего пользователя. Если текущий пользователь имеет административные права, то атакующий получает возможность устанавливать программы, просматривать, изменять и удалять данные, создаватьучетные записи с полными правами.

    Обновление исправляет функции обращения интерпретатора VBScript к объектам в памяти.

    Уязвимость повышения привилегий в браузерах Microsoft
    Уязвимость повышения привилегий возникает в случае, если Internet Explorer неправильно ограничивает типы содержимого. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может исполнить скрипт с повышенными привилегиями.

    Атакующий может разместить в сети Интернет специально созданный веб-сайт, разработанный для эксплуатации данной уязвимости через Internet Explorer, а затем убедить пользователя посетить данный сайт. Атакующий, успешно проэксплуатировавший данные уязвимости, может повысить привилегии в уязвимых версиях Internet Explorer.

    Обновление закрывает уязвимость, заставляя Internet Explorer правильно ограничивать типы содержимого.

    Уязвимость разглашения информации в браузерах Microsoft
    Уязвимость разглашения информации возникает в случае, если Internet Explorer разглашает содержимое своей памяти, что может дать злоумышленнику информацию для дальнейшей компрометации компьютера пользователя.

    Атакующий может разместить в сети Интернет специально созданный веб-сайт, разработанный для эксплуатации данной уязвимости через Internet Explorer, а затем убедить пользователя посетить данный сайт.

    Обновление закрывает эту уязвимость, изменяя способ работы некоторых функций с объектами в памяти.

    Обход ASLR в браузерах Microsoft
    Уязвимость обхода механизмов безопасности возникает в случае, если Internet Explorer не использует механизм безопасности ASLR (Address Space Layout Randomization, рандомизация распределения адресного пространства), позволяя злоумышленнику более надежно предсказывать смещения в памяти определенных инструкций в данном стэке вызовов. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может обойти механизм безопасности ASLR, который помогает защитить пользователей от широкого класса уязвимостей. Обход механизма безопасности сам по себе не приводит к исполнению кода. Однако, атакующий может использовать эту уязвимость ASLR в паре с другой уязвимостью, например, уязвимостью удаленного исполнения кода, чтобы с большей надежностью исполнить код на целевой системе.

    В сценарии веб-сёрфинга успешная эксплуатация этой уязвимости требует, чтобы пользователь был авторизован, использовал подверженную версию Internet Explorer и просмотрел вредоносный сайт.

    ВАЖНО для клиентов, которые устанавливают сборное обновление 3104002:
    Для того чтобы защититься от этой уязвимости, вам необходимо установить обновление безопасности 3109094 в MS15-135. Обновление 3109094 добавляет FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING в ваш реестр, что не предусмотрено базовой конфигурацией. Вам необходимо проделать следующие действия для включения этого функционала и активизации защиты от этой уязвимости.

    ВАЖНО для клиентов, которые устанавливают сборное обновление 3116869 для Windows 10 или сборное обновление 3116900 для Windows 10 Version 1511, а также для тех, кто использует Internet Explorer 11:
    Эти обновления добавляют FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING в ваш реестр, что не предусмотрено базовой конфигурацией. Вам необходимо проделать следующие действия для включения этого функционала и активизации защиты от этой уязвимости.

    ВАЖНО для клиентов, использующих Microsoft Edge на Windows 10 или Windows 10 Version 1511:
    Этот функционал устанавливается с обновлением и включен по умолчанию. Дальнейших действий для защиты от этой уязвимости предпринимать не требуется.

    Предупреждение: Неправильное использование редактора реестра может повлечь серьезные проблемы, которые могут привести к необходимости переустановки операционной системы.

    Для 32-битных операционных систем:
    1. Нажмите «пуск», «выполнить», напишите в диалоговом окне «regedit» и нажмите «ОК».
    2. Перейдите к следующему местоположению:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\
    3. Создайте новый ключ с именем FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING
    4. Под новым ключом, создайте новую DWORD вставку «iexplore.exe».
    5. Выставите значение DWORD: «1».

    Для операционных систем на x64:
    1. Нажмите «пуск», «выполнить», напишите в диалоговом окне «regedit» и нажмите «ОК».
    2. Перейдите к следующему местоположению:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\
    3. Создайте новый ключ с именем FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING
    4. Под новым ключом, создайте новую DWORD вставку «iexplore.exe».
    5. Выставите значение DWORD: «1».
    6. Перейдите к следующему местоположению:
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\FeatureControl\
    7. Создайте новый ключ с именем FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING
    8. Под новым ключом, создайте новую DWORD вставку «iexplore.exe».
    9. Выставите значение DWORD: «1».

    Уязвимость обхода фильтра XSS в Internet Explorer
    Уязвимость обхода механизма безопасности возникает в случае, если Internet Explorer неправильно выполняет кросс-доменные политики. Уязвимость может позволить злоумышленнику получить доступ к информации от одного домена и ввести её в другой домен.

    Атакующий может разместить в сети Интернет специально созданный веб-сайт, разработанный для эксплуатации данной уязвимости через Internet Explorer, а затем убедить пользователя посетить данный сайт. Атакующий, успешно проэксплуатировавший данную уязвимость, может повысить привилегии в уязвимых версиях Internet Explorer.

    Сама по себе уязвимость не позволяют исполнять произвольный код, но может быть использована в связке с другими уязвимостями (например, уязвимостями удаленного исполнения кода).

    Обновление устраняет уязвимость, помогая убедиться в правильной реализации кросс-доменных политик в Internet Explorer.

  3. Список уязвимых компонентов: ОС Windows версий 7, 8, 8.1, Vista, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, RT, RT 8.1, 10.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется посредством установки обновлений безопасности, выпущенных 8 декабря 2015 года, KB3116869 для Windows 10, KB3116900 для Windows 10 version 1511 и 3104002 для всех остальных поддерживаемых систем.

    Без установки указанных выше обновлений можно устранить только часть уязвимостей (связанных с машинами скриптов). Для этого необходимо ввести указанные ниже команды в административную консоль.

    В 32-битных системах:
    • takeown /f %windir%\system32\vbscript.dll
    • cacls %windir%\system32\vbscript.dll /E /P everyone:N

    В 64-битных системах:
    • takeown /f %windir%\syswow64\vbscript.dll
    • cacls %windir%\syswow64\vbscript.dll /E /P everyone:N

    Включение VBScript после установки обновления.

    В 32-битных системах:
    • cacls %windir%\system32\vbscript.dll /E /R everyone

    В 64-битных системах:
    • cacls %windir%\syswow64\vbscript.dll /E /R everyone
Бюллетень безопасности Microsoft MS15-125

Бюллетень описывает критические уязвимости в браузере Microsoft Edge для Windows 10.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-125.

  2. Описание угрозы:

    Множественные уязвимости нарушения памяти
    Уязвимости удаленного исполнения кода возникают в том случае, если Microsoft Edge неправильно работает с объектами в памяти. Эти уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить любой код в контексте текущего пользователя.

    Атакующий может разместить специально созданный сайт, спроектированный для эксплуатации этих уязвимостей в Microsoft Edge, а потом убедить пользователя просмотреть сайт. Атакующий также может воспользоваться скомпрометированными сайтами и сайтами, принимающими или демонстрирующими рекламный контент, добавляя специально созданный контент, который может проэксплуатировать эти уязвимости. Однако, во всех случаях у злоумышленника не будет способа заставить пользователя просмотреть контролируемый злоумышленником контент. Вместо этого злоумышленнику необходимо убедить пользователя произвести действие, обычно убедив его открыть вложение в письме или нажать на ссылку в мессенджере или электронном сообщении, которая переводит пользователя на сайт атакующего.

    Злоумышленник, который успешно проэксплуатировал данные уязвимости, может получить те же пользовательские права, что и текущий пользователь. Если текущий пользователь авторизовался с правами администратора, злоумышленник, который успешно проэксплуатировал эти уязвимости, может получить полный контроль над уязвимой системой. После этого злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, создавать учетные записи с полными пользовательскими правами. Системы, в которых Microsoft Edge часто используется, такие как рабочие станции и терминальные серверы, наиболее подвержены риску от этих уязвимостей.

    Данное обновление закрывает уязвимости, изменяя способ работы Microsoft Edge с объектами в памяти.

    Уязвимость повышения привилегий в браузерах Microsoft
    Уязвимость повышения привилегий возникает в случае, если Microsoft Edge неправильно ограничивает типы содержимого. Злоумышленник, который успешно проэксплуатировал эту уязвимость может исполнить скрипт с повышенными привилегиями.

    Атакующий может разместить в сети Интернет специально созданный веб-сайт, разработанный для эксплуатации данной уязвимости через Microsoft Edge, а затем убедить пользователя посетить данный сайт. Атакующий, успешно проэксплуатировавший данные уязвимости может повысить привилегии в уязвимых версиях Microsoft Edge.

    Обновление закрывает уязвимость, заставляя Microsoft Edge правильно ограничивать типы содержимого.

    Уязвимость разглашения информации в браузерах Microsoft
    Уязвимость разглашения информации возникает в случае, если Microsoft Edge неправильно разглашает содержимое своей памяти, что может предоставить злоумышленнику информацию для дальнейшей компрометации компьютера пользователя.

    Атакующий может разместить в сети Интернет специально созданный веб-сайт, разработанный для эксплуатации данной уязвимости через Microsoft Edge, а затем убедить пользователя посетить данный сайт.

    Обновление закрывает эту уязвимость, изменяя способ работы некоторых функций с объектами в памяти.

    Обход ASLR в браузерах Microsoft
    Уязвимость обхода механизмов безопасности возникает в случае, если Microsoft Edge не использует механизм безопасности ASLR (Address Space Layout Randomization, рандомизация распределения адресного пространства), позволяя злоумышленнику более надежно предсказывать смещения в памяти определенных инструкций в данном стэке вызовов. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может обойти механизм безопасности ASLR, который помогает защитить пользователей от широкого класса уязвимостей. Обход механизма безопасности сам по себе не приводит к исполнению кода. Однако, атакующий может использовать эту уязвимость ASLR в паре с другой уязвимостью, например, уязвимостью удаленного исполнения кода, чтобы с большей надежностью исполнить код на целевой системе.

    В сценарии веб-сёрфинга успешная эксплуатация этой уязвимости требует, чтобы пользователь был авторизован, использовал подверженную данной уязвимости версию Microsoft Edge и просмотрел вредоносный сайт.

    Уязвимость подмены в Microsoft Edge
    Уязвимость подмены возникает в Microsoft Edge в случае, если он неправильно разбирает ответы HTTP. Злоумышленник, который успешно проэксплуатировал эту уязвимость может обмануть пользователя, перенаправив его на специально созданный сайт. Специально созданный сайт может подменять контент или быть использован как звено в цепочке атак с другими уязвимостями в веб-сервисах.

    Для эксплуатации этой уязвимости пользователю необходимо перейти на специально созданный URL-адрес. В сценарии атаки по электронной почте злоумышленник может отправить пользователю сообщение, содержащее специально созданный URL-адрес, и попытаться убедить пользователя перейти на него.

    В сценарии веб-атаки злоумышленник может запустить специально созданный вредоносный веб-сайт. Однако у злоумышленника не будет способа заставить пользователя посетить этот сайт. Обычно убедив их открыть вложение в письме, нажать на ссылку в мессенджере или электронном сообщении.

    Обновление закрывает уязвимость, корректируя способ обработки ответов HTTP браузером Microsoft Edge.

    Уязвимость повышения привилегий в браузерах Microsoft
    Уязвимость повышения привилегий возникает в случае, если Microsoft Edge неправильно проверяет разрешения при особых условиях. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может исполнить скрипт с повышенными привилегиями.

    Атакующий может разместить в сети Интернет специально созданный веб-сайт, разработанный для эксплуатации данной уязвимости через Microsoft Edge, а затем убедить пользователя посетить данный сайт. Атакующий, успешно проэксплуатировавший данные уязвимости, может повысить привилегии в уязвимых версиях Microsoft Edge.

    Обновление закрывает уязвимость, добавляя в Microsoft Edge проверку разрешений.

    Уязвимость обхода фильтра XSS в Microsoft Edge
    Уязвимость обхода фильтра XSS в браузере Microsoft возникает в случае, если Microsoft Edge включает HTML-атрибут в данных ответа HTTP, которые в остальном отфильтрованы правильно. Уязвимость может разрешить изначально выключенным скриптам выполниться в несоответствующем контексте безопасности, что приведет к разглашению информации.

    Злоумышленник может загрузить на сайт специально созданный контент, спроектированный для эксплуатации уязвимостей. Далее злоумышленнику необходимо убедить пользователя просмотреть указанный контент. Если пользователь переходит на сайт, фильтр XSS выключает атрибуты HTML в специально созданном содержимом, создавая условия для исполнения вредоносного скрипта в неправильном контексте безопасности, что приведет к разглашению информации.

    Злоумышленник, который успешно проэксплуатировал эту уязвимость, может выполнить скрипт на системе другого пользователя под прикрытием веб-сайта третьего лица. Такой скрипт может запускаться в браузере при посещении веб-сайта третьего лица и позволяет выполнить на пользовательской системе любое действие, которое разрешено сайту. Уязвимости могут быть эксплуатированы в тех случаях, если пользователь нажимал на ссылку с гипертекстом или в электронном письме с HTML, либо если пользователь посещал сайт злоумышленника или сайт с содержимым под контролем злоумышленника.

    Обновление закрывает уязвимость, не давая XSS фильтру в Microsoft Edge неправильно выключать HTML атрибуты.

  3. Список уязвимых компонентов: ОС Windows версии 10.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3116184, выпущенного 8 декабря 2015 года.
Бюллетень безопасности Microsoft MS15-126

Бюллетень описывает критические уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-126.

  2. Описание угрозы:

    Уязвимость разглашения информации в машине скриптов
    Уязвимость разглашения информации возникает в случае, если VBScript разглашает содержимое своей памяти, что может дать злоумышленнику информацию для дальнейшей компрометации пользовательского компьютера или данных.

    Для эксплуатации этой уязвимости злоумышленнику необходимо знать адрес созданного объекта в памяти.

    Обновление закрывает уязвимость, изменяя способ работы с объектами в памяти определенных функций.

    Уязвимость нарушения структуры памяти машины скриптов
    Множественные уязвимости удаленного исполнения кода возникают в случае, если машина обработки VBScript обрабатывает объекты в памяти в Internet Explorer. Уязвимость может нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя.

    Атакующий может разместить в сети Интернет специально созданный веб-сайт, разработанный для эксплуатации данной уязвимости через Internet Explorer, а затем убедить пользователя посетить данный сайт. Также атакующий может вставить элемент ActiveX, использующий движок рендеринга Internet Explorer, в приложение или документ Microsoft Office и убедить пользователя запустить приложение или открыть документ. Атакующий, успешно проэксплуатировавший данную уязвимость, получает права текущего пользователя. Если текущий пользователь имеет административные права, то атакующий получает возможность устанавливать программы, просматривать, изменять и удалять данные, создавать учетные записи с полными правами.

    Обновление исправляет то, как интерпретатор VBScript обращается к объектам в памяти.

  3. Список уязвимых компонентов: ОС Windows версий Vista, Server 2008, Server 2008 R2.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется посредством установки обновления безопасности KB3105578 для Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation only) и KB3105579 для остальных систем. Обновления выпущены 8 декабря 2015 года.

    Инструкция по устранению уязвимости без установки обновлений (путем отключения VBScript): необходимо ввести следующие команды в административную консоль.


    В 32-битных системах:
    • takeown /f %windir%\system32\vbscript.dll
    • cacls %windir%\system32\vbscript.dll /E /P everyone:N

    В 64-битных системах:
    • takeown /f %windir%\syswow64\vbscript.dll
    • cacls %windir%\syswow64\vbscript.dll /E /P everyone:N

    Включение VBScript после установки обновления:

    В 32-битных системах:
    • cacls %windir%\system32\vbscript.dll /E /R everyone

    В 64-битных системах:
    • cacls %windir%\syswow64\vbscript.dll /E /R everyone
Бюллетень безопасности Microsoft MS15-127

Бюллетень описывает критическую уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-127.

  2. Описание угрозы:

    Уязвимость «Use-After-Free» в Windows DNS
    Уязвимость удаленного исполнения кода возникает в серверах Windows Domain Name System (DNS, система доменных имён), в том случае, если они не могут правильно обработать запросы. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может запустить код в контексте локального системного аккаунта. Сервера Windows, сконфигурированные как DNS-сервера, подвержены риску из-за этой уязвимости.

    Злоумышленник может создать специально спроектированное приложение для соединения с сервером Windows DNS и передавать вредоносные запросы серверу.

    Обновление закрывает эту уязвимость, модифицируя функции, с помощью которых серверы Windows DNS обрабатывают запросы.

  3. Список уязвимых компонентов: ОС Windows версий Server 2008, Server 2008 R2, Server 2012, Server 2012 R2.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3100465, выпущенного 8 декабря 2015 года.
Бюллетень безопасности Microsoft MS15-128

Бюллетень описывает критические уязвимости в Microsoft Windows, .NET Framework, Microsoft Office, Skype for Business, Microsoft Lync и Silverlight.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-128.

  2. Описание угрозы:

    Множественные уязвимости нарушения структуры памяти в графике
    Множественные уязвимости удаленного исполнения кода возникают в случае, если библиотека шрифтов в Windows неправильно обрабатывает специально созданные встроенные шрифты. Злоумышленник, который успешно проэксплуатировал эти уязвимости, может устанавливать программы, просматривать, изменять или удалять данные, создавать учетные записи с полными пользовательскими правами.

    Существует несколько способов, как злоумышленник может проэксплуатировать эти уязвимости, например, убедив пользователя открыть специально созданный документ или убедив пользователя посетить недоверенную страницу, которая содержит встроенные шрифты.

    Обновление безопасности закрывает уязвимости, корректируя способ обработки библиотекой шрифтов Windows встроенных шрифтов.

  3. Список уязвимых компонентов: ОС Windows версий 7, 8, 8.1, Vista, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, RT, RT 8.1, 10, а также Microsoft Office (2007, 2010), Skype for Business (2016), Microsoft Lync (2010, 2013), Microsoft Live Meeting 2007 и Microsoft Silverlight.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Устранение уязвимостей выполняется посредством установки следующих обновлений для соответствующих систем и компонентов:
    • Windows 10 – KB3116869;
    • Windows 10 Version 1511 – KB3116900;
    • Остальные поддерживаемые операционные системы - KB3109094;
    • Microsoft Office 2007 Service Pack 3 – KB3085612;
    • Microsoft Office 2010 Service Pack 2 – KB3085612;
    • Microsoft Word Viewer – KB3114478;
    • Microsoft .NET Framework 3.0 Service Pack 2 – KB3099860;
    • Microsoft .NET Framework 4 – KB3099866;
    • Microsoft .NET Framework 4.5/4.5.1/4.5.2 – KB3099869;
    • Microsoft .NET Framework 4.6 – KB3099874;
    • Microsoft .NET Framework 3.5.1 – KB3099862;
    • Microsoft .NET Framework 3.5 на Windows 8, Windows Server 2012 – KB3099863;
    • Microsoft .NET Framework 3.5 на Windows 8.1, Windows Server 2012R2 – KB3099864;
    • Microsoft .NET Framework 3.5 на Windows 10 – KB3116869;
    • Skype for Business 2016 – KB3114372;
    • Microsoft Lync 2013 Service Pack 1 – KB3114351;
    • Microsoft Lync 2010 – KB3115871;
    • Microsoft Lync 2010 Attendee (user level install) – KB3115872;
    • Microsoft Lync 2010 Attendee (admin level install) – KB3115873;
    • Microsoft Live Meeting 2007 Console (3115875) – KB3115875;
    • Microsoft Silverlight 5 – KB3106614.
Бюллетень безопасности Microsoft MS15-129

Бюллетень описывает критические уязвимости в Microsoft Silverlight.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-129.

  2. Описание угрозы:

    Уязвимость удаленного исполнения кода в Microsoft Silverlight
    Уязвимость удаленного исполнения кода возникает в Microsoft Silverlight в случае, если он неправильно обрабатывает определенные запросы на открытие и закрытие, что может привести к нарушению доступа чтения и записи.

    Для эксплуатации уязвимости злоумышленник может использовать сайт, содержащий специально спроектированное приложение Silverlight, и убедить пользователя посетить скомпрометированный сайт. Злоумышленник может воспользоваться сайтами, содержащими специально созданное содержимое, включая сайты с рекламным контентом, а также сайты, которые принимают или «раздают» контент, загружаемый пользователями. Например, злоумышленник может выставить специально созданный веб-контент, используя баннер рекламы или другие методы доставки содержимого в уязвимые системы. Однако во всех случаях у злоумышленника не будет способа заставить пользователей посетить скомпрометированный сайт. Вместо этого ему придется убедить пользователя посетить сайт, обычно убедив его нажать на ссылку в электронном письме или сообщении в мессенджере.

    В сценарии веб-атаки злоумышленник, который успешно проэксплуатировал эту уязвимость, может получить те же права, что и авторизированный пользователь. Если текущий пользователь авторизовался с административными правами, злоумышленник, который успешно проэксплуатировал эти уязвимость, может получить полный контроль над уязвимой системой. После этого злоумышленник может устанавливать программы, просматривать, изменять или удалять данную, создавать учетные записи с полными пользовательскими правами.

    Обновление закрывает уязвимость, корректируя функции, с помощью которых Microsoft Silverlight обрабатывает определенные запросы на закрытие и открытие.

    Множественные уязвимости разглашения информации в Microsoft Sliverlight
    Множественные уязвимости разглашения информации возникают, когда Silverlight не справляется с правильной обработкой объектов в памяти, что может позволить злоумышленникам более надежно предсказывать значения указателей и уменьшить эффективность механизма безопасности ASLR.

    Для эксплуатации этих уязвимостей в сценарии веб-атаки злоумышленник потенциально может обойти механизм безопасности ASLR, который защищает пользователей от широкого класса уязвимостей. Обход ASLR сам по себе не дает возможность исполнять код. Однако злоумышленник может использовать другие уязвимости вместе с обходом ASLR для компрометации целевой системы.

    В сценарии веб-атаки злоумышленник может поддерживать сайт со специально спроектированным содержимым Silverlight в попытке эксплуатации уязвимостей. В дополнение к этому скомпрометированные сайты, на которых представлено содержимое, предоставляемое пользователями, также могут проэксплуатировать данные уязвимости. У злоумышленника не будет способа заставить пользователя посетить специально созданный сайт. Вместо этого злоумышленнику придется убедить пользователя произвести какое-либо действие, например. нажать на ссылку.

    Обновление закрывает уязвимость, корректируя функции, с помощью которых происходит работа с памятью, чтобы сохранить целостность ASLR в Silverlight.

  3. Список уязвимых компонентов: Microsoft Silverlight 5.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3106614, выпущенного 8 декабря 2015 года.
Бюллетень безопасности Microsoft MS15-130

Бюллетень описывает критическую уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-130.

  2. Описание угрозы:

    Уязвимость отрицательного переполнения (Integer Underflow)1 в Windows
    Уязвимость удаленного исполнения кода возникает в случае, если Windows Uniscribe неправильно обрабатывает специально созданные шрифты. Злоумышленник, который успешно проэксплуатировал эту уязвимость получит возможность устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными пользовательскими правами.

    Существует много способов, как злоумышленник может проэксплуатировать данную уязвимость, например, убедив пользователя открыть специально созданный документ, который содержит встроенные шрифты Обновление закрывает уязвимости, корректируя, как Windows разбирает шрифты.

  3. Список уязвимых компонентов: ОС Windows версий 7, Server 2008 R2.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3108670, выпущенного 8 декабря 2015 года.
Бюллетень безопасности Microsoft MS15-131

Бюллетень описывает критические уязвимости в Microsoft Office.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-131.

  2. Описание угрозы:

    Множественные уязвимости нарушения структуры памяти в Microsoft Office
    Уязвимости удаленного исполнения кода возникают в случае, если Microsoft Office неправильно работает с объектами в памяти. Злоумышленник, успешно проэксплуатировавший эту уязвимость, может использовать специальный файл, чтобы совершать действия в контексте безопасности текущего пользователя. Тогда исполняемый код, содержащийся в файле, смог бы, например, совершать действия от имени текущего пользователя. Эксплуатация данной уязвимости требует открытия специального файла программой Microsoft Office.

    Уязвимость не может быть автоматически проэксплуатирована по сценарию, основанному на сетях. Атакующий может использовать специально созданный сайт, содержащий вредоносный файл Microsoft Office, и убедить пользователя перейти на этот сайт. Злоумышленник может воспользоваться рекламными сайтами, а также сайтами, содержащими контент, предоставляемый пользователями, добавляя специально созданный контент, который может эксплуатировать данную уязвимость. Во всех случаях у злоумышленника нет возможности заставить пользователя просмотреть контролируемый контент. Вместо этого злоумышленнику необходимо заставить пользователя сделать определенное действие: обычно, убедив его открыть приложение к письму электронной почты или нажать на ссылку в мессенджере или сообщении электронной почты, которая направит пользователя на сайт злоумышленника (или к открыть приложение к письму).

    Данное обновление закрывает уязвимости, изменяя способ работы Microsoft Office с объектами в памяти.

    Уязвимость удаленного исполнения кода в Microsoft Office
    Уязвимость удаленного исполнения кода возникает в том случае, если Microsoft Outlook неправильно обрабатывает специально созданные электронные сообщения. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может исполнить код в контексте авторизованного пользователя и получить полный контроль над уязвимой системой. В результате злоумышленник сможет устанавливать программы; просматривать, изменять или удалять данные, создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимости пользователю необходимо открыть или просмотреть специально созданное электронное сообщение в уязвимой версии Microsoft Outlook. В сценарии атаки через электронную почту злоумышленник может проэксплуатировать уязвимость, прислав пользователю специально созданное сообщение и убедив его просмотреть.

    Рабочие станции и терминальные серверы, на которых установлен Microsoft Outlook, также находятся в зоне риска этой уязвимости. Серверы находятся под большим риском, если администраторы позволяют пользователям авторизовываться на них для запуска программ, в то время как лучшие практики (Microsoft Best Practices) запрещают подобные действия.

    Обновление закрывает уязвимость, корректируя функции, с помощью которых Microsoft Outlook обрабатывает электронные сообщения.

  3. Список уязвимых компонентов: Microsoft Office (2007, 2010, 2013, 2013 RT, 2016, for Mac 2011 и 2016, Compatibility Pack Service Pack 3) и Microsoft Excel Viewer 2007 Service Pack 2.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновлений безопасности, выпущенных 8 декабря 2015 года. Чтобы устранить уязвимость в Microsoft Outlook без установки обновлений необходимо выключить чтение электронных сообщений Outlook как HTML:
    • Нажмите на вкладку «File».
    • Нажмите на «Options».
    • Нажмите «Trust Center», а далее «Trust Center Settins».
    • Нажмите «Email Security»
    • Под «Read as Plain Text» выберите «Read all standard mail in plain text».
Бюллетень безопасности Microsoft MS15-132

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-132.

  2. Описание угрозы:

    Множественные уязвимости удаленного исполнения кода в Windows Library Loading (загрузке библиотек Windows)
    Множественные уязвимости удаленного исполнения кода возникают в том случае, если Windows неправильно проверяет входные данные перед загрузкой библиотек. Злоумышленник, который успешно проэксплуатировал эти уязвимости, может получить полный контроль над уязвимой системой. В результате злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными пользовательскими правами. Компьютеры пользователей, чьи учетные записи сконфигурированы с меньшими правами в системе, менее подвержены уязвимости, чем компьютеры пользователей, работающих с правами администратора.

    Для эксплуатации этих уязвимостей злоумышленнику потребуется доступ к локальной системе и возможность запустить в ней специально созданное приложение.

    Обновление закрывает уязвимости, корректируя функции, с помощью которых Windows проверяет входные данные перед загрузкой библиотек.

  3. Список уязвимых компонентов: ОС Windows версий 7, 8, 8.1, Vista, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, RT, RT 8.1, 10.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 7.2 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновлений безопасности, выпущенного 8 декабря 2015 года.
Бюллетень безопасности Microsoft MS15-133

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-133.

  2. Описание угрозы:

    Уязвимость повышения привилегий Windows PGM UAF (Pragmatic General Multicast Use-after-free)
    Уязвимость повышения привилегий возникает в протоколе Windows Pragmatic General Multicast в том случае, если инициированное злоумышленником состояние гонки позволяет получить ссылки на содержимое памяти, которые уже были освобождены. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может исполнить код с повышенными привилегиями. Это позволит ему устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации этой уязвимости злоумышленнику необходимо авторизоваться в целевой системе. Тогда злоумышленник сможет запустить специально созданное приложение, которое спроектировано для создания состояния гонки, что приведет к повышению привилегий.

    Обновление безопасности закрывает уязвимость, откладывая чистку памяти до того момента, как содержимое памяти уже не будет нужно для доступа.

  3. Список уязвимых компонентов: ОС Windows версий 7, 8, 8.1, Vista, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, RT, RT 8.1, 10.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 7.2 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновлений безопасности, выпущенных 8 декабря 2015 года.
Бюллетень безопасности Microsoft MS15-134

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-134.

  2. Описание угрозы:

    Уязвимость удаленного исполнения кода в механизме разбора библиотек Media Center

    Уязвимость удаленного исполнения кода возникает в Windows Media Center в том случае, если он открывает специально созданный файл Media Center (.mcl), который ссылается на вредоносный код. Злоумышленник, который успешно проэксплуатировал эту уязвимость может получить полный контроль над уязвимой системой. Компьютеры пользователей, чьи учетные записи сконфигурированы с меньшими правами в системе, могут быть менее подвержены уязвимости, чем компьютеры пользователи, работающих с правами администратора. Рабочие станции находятся под наибольшим риском.

    Для эксплуатации этой уязвимости необходимо взаимодействие с пользователем. В сценарии атаки через браузер пользователю необходимо перейти на скомпрометированный сайт, который злоумышленник использует для распространения вредоносного .mcl файла. В сценарии атаки по электронной почте злоумышленнику необходимо убедить пользователя, авторизованного на уязвимой рабочей станции, нажать на специально созданную ссылку в электронном письме.

    Обновление закрывает уязвимость, корректируя то, как Windows Media Center обрабатывает определенные ресурсы в файле .mcl.

    Уязвимость разглашения информации в Windows Media Center
    Уязвимость в Windows Media Center, которая может допустить разглашение информации, возникает в том случае, если Media Center неправильно обрабатывает специально созданный файл ссылки Media Center (.mcl), указывающий на вредоносный код. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может получить информацию о локальной файловой системе. Рабочие станции находятся под наибольшим риском.

    Для эксплуатации этой уязвимости необходимо взаимодействие с пользователем. В сценарии атаки через браузер пользователю необходимо перейти на скомпрометированный сайт, который злоумышленник использует для распространения вредоносного .mcl файла. В сценарии атаки по электронной почте злоумышленнику необходимо убедить пользователя, авторизованного на уязвимой рабочей станции, нажать на специально созданную ссылку в электронном письме.

    Обновление закрывает уязвимость, корректируя, как Windows Media Center обрабатывает определенные ресурсы в файле .mcl.

  3. Список уязвимых компонентов: ОС Windows версий 7, 8, 8.1, Vista.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется посредством установки обновления безопасности KB3108669, выпущенного 8 декабря 2015 года.

    Также уязвимость можно временно устранить, удалив в реестре ключ [HKEY_CLASSES_ROOT\MCL].
Бюллетень безопасности Microsoft MS15-135

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS15-135.

  2. Описание угрозы:

    Множественные уязвимости повышения привилегий в памяти Windows Kernel
    Множественные уязвимости повышения привилегий возникают из-за ошибок обработки объектов в памяти в ядре Windows. Злоумышленник, который успешно проэксплуатировал эти уязвимости, может запустить код в режиме ядра. Это позволит ему устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимостей злоумышленнику необходимо авторизоваться в целевой системе, запустить специально созданное приложение, которое может проэксплуатировать уязвимости, и получить контроль над системой.

    Обновление закрывает уязвимости, корректируя функции, с помощью которых ядро Windows обрабатывает объекты в памяти.

  3. Список уязвимых компонентов: ОС Windows версий 7, 8, 8.1, Vista, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, RT, RT 8.1, 10.

  4. Итоговая оценка уровня опасности в соответствии с методикой CVSS: 7.2 (высокая).

  5. Рекомендации для системного администратора:
    Уязвимость устраняется посредством установки обновлений безопасности, выпущенных 8 декабря 2015 года.