• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Microsoft исправила множественные уязвимости в своих продуктах

10.05.2016 в рамках «вторника обновлений» компания Microsoft выпустила 16 бюллетеней безопасности, 8 из которых имеют статус критических (MS16-051—MS16-057, MS16-064).

522809

10.05.2016 в рамках «вторника обновлений» компания Microsoft выпустила 16 бюллетеней безопасности, 8 из которых имеют статус критических (MS16-051—MS16-057, MS16-064).

Бюллетень безопасности Microsoft MS16-051

Бюллетень описывает критические уязвимости в браузере Internet Explorer.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-051.
  2. Описание угрозы:

    Множественные уязвимости нарушения структуры памяти в машине исполнения скриптов:
    Множественные уязвимости удаленного выполнения кода возникают при обработке объектов в памяти в Internet Explorer машинами скриптов JScript и VBScript. Уязвимости могут нарушить память таким образом, что злоумышленник может исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал данные уязвимости, может получить те же пользовательские права, что и текущий пользователь. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    При сценарии веб-атаки злоумышленник может разместить специально созданный сайт, спроектированный для эксплуатации уязвимостей в Internet Explorer, и убедить пользователя просмотреть данный сайт. Злоумышленник также может внедрить элемент ActiveX с пометкой "безопасно для активации" в приложение или документ Microsoft Office, который будет использовать машину скриптов IE. Злоумышленник также может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем. Эти сайты могут содержать специально спроектированный контент, который позволяет проэксплуатировать уязвимости.

    Обновление закрывает уязвимости, модифицируя способ обработки объектов в памяти машинами JScript и VBScript.

    Уязвимость обхода механизма безопасности в Internet Explorer - CVE-2016-0188:
    Уязвимость обхода механизма безопасности в Internet Explorer возникает в компоненте UMCI (User Mode Code Integrity, Целостность кода в User Mode) Device Guard, когда он неправильно проверяет целостность кода. Злоумышленник, успешно проэксплуатировавший эту уязвимость, может исполнить неподписанный код, который обычно блокируется UMCI.

    Для эксплуатации уязвимости злоумышленник может запустить неподписанный вредоносный код, имитируя, что он подписан доверенным источником. Обновление закрывает уязвимость, корректируя то, как Internet Explorer проверяет целостность кода.

    Уязвимость нарушения структуры памяти в Internet Explorer - CVE-2016-0192:
    Уязвимость удаленного выполнения кода возникает в Internet Explorer, когда он неправильно выполняет доступ к объектам в памяти. Уязвимость может нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал данную уязвимость, может получить те же пользовательские права, что и текущий пользователь. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Злоумышленник может разместить специально созданный веб-сайт, который спроектирован для эксплуатации уязвимости через Internet Explorer, и убедить пользователя посетить данный сайт. Злоумышленник также может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере.

    Обновление закрывает уязвимость, изменяя способ обработки объектов в памяти Internet Explorer.

    Уязвимость разглашения информации в Internet Explorer - CVE-2016-0194:
    Уязвимость разглашения информации возникает, когда Internet Explorer неправильно использует разрешения доступа, которые могут позволить злоумышленнику раскрыть содержимое любых файлов на компьютере пользователя. Злоумышленник, который успешно проэксплуатировал данную уязвимость, потенциально может просматривать данные, не предназначенные для разглашения. Необходимо отметить, что уязвимость не позволит злоумышленнику исполнять код или повысить пользовательские права напрямую, но она может быть использована для получения информации в целях дальнейшей компрометации системы.

    В дополнение скомпрометированные веб-сайты и сайты, которые принимают предоставленное пользователем содержимое, могут содержать специально созданное содержимое, которое позволяет проэксплуатировать уязвимость. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере.

    Обновление закрывает уязвимость, позволяя убедиться, что разрешения доступа к файлам правильно проверяются перед возвращением данных о файлах пользователю.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS:
    Номер уязвимости Индекс CVSS
    CVE-2016-0187 CVSS 7.6 (Высокая)
    CVE-2016-0188 CVSS 9.3 (Высокая)
    CVE-2016-0189 CVSS 7.6 (Высокая)
    CVE-2016-0192 CVSS 7.6 (Высокая)
    CVE-2016-0194 CVSS 2.6 (Низкая)
  5. .

  6. Рекомендации для системного администратора:
    Уязвимость устраняется посредством установки обновления безопасности KB3155533, выпущенного 10 мая 2016 года.

    Способы купирования проблемы вручную:

    • В 32-битных системах откройте административную консоль и введите следующие команды:
      1. takeown /f %windir%\system32\vbscript.dll
      2. cacls %windir%\system32\vbscript.dll /E /P everyone:N
      3. cacls %windir%\system32\jscript.dll /E /P everyone:N

    • В 64-битных системах откройте административную консоль и введите следующие команды:
      1. takeown /f %windir%\syswow64\vbscript.dll
      2. cacls %windir%\syswow64\vbscript.dll /E /P everyone:N
      3. cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    Отмена указанных выше действий:

    • В 32-битных системах откройте административную консоль и введите следующие команды:
      1. cacls %windir%\system32\vbscript.dll /E /R everyone
      2. cacls %windir%\system32\jscript.dll /E /R everyone

    • В 64-битных системах откройте административную консоль и введите следующие команды:
      1. cacls %windir%\syswow64\vbscript.dll /E /R everyone
      2. cacls %windir%\syswow64\jscript.dll /E /R everyone

Бюллетень безопасности Microsoft MS16-052

Бюллетень описывает уязвимости в Microsoft Edge.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-052.
  2. Описание угрозы:

    Уязвимость нарушения структуры памяти в Microsoft Edge - CVE-2016-0192:
    Множественные уязвимости удаленного выполнения кода были найдены в Microsoft Edge. Они возникали вследствие некорректного обращения к объектам в памяти. Данные уязвимости могли исказить память таким образом, что это позволило бы атакующему исполнять произвольный код в контексте активного пользователя.

    Атакующий, успешно использовавший данные уязвимости, может получить права активного пользователя. В случае, если активный пользователь обладает правами администратора, атакующий может получить контроль над всей системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Злоумышленник может разместить специально созданный веб-сайт, который спроектирован для эксплуатации уязвимости через Microsoft Edge, и убедить пользователя посетить данный сайт. Злоумышленник также может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере.

    Обновление закрывает уязвимость, изменяя способ обработки объектов в памяти Microsoft Edge.

    Множественные уязвимости нарушения структуры памяти в машине скриптов:
    Множественные уязвимости удаленного выполнения кода возникают при обработке объектов в памяти в Microsoft Edge машиной скриптов Chakra JavaScript. Уязвимости могут нарушить память таким образом, что злоумышленник может исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал данные уязвимости, может получить те же пользовательские права, что и текущий пользователь. случае, если активный пользователь обладает правами администратора, атакующий может получить контроль над всей системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    При проведении веб-атаки злоумышленник может разместить специально созданный сайт, спроектированный для эксплуатации уязвимостей в Microsoft Edge, и убедить пользователя просмотреть данный сайт. Злоумышленник также может внедрить элемент ActiveX с пометкой "безопасно для активации" в приложение или документ Microsoft Office, который будет использовать машину скриптов IE. Кроме того, злоумышленник может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем. Эти сайты могут содержать специально спроектированный контент, который позволяет проэксплуатировать уязвимости.

    Обновление закрывает уязвимости модифицируя способ обработки объектов в памяти машинами JScript и VBScript.
  3. Список уязвимых компонентов: ОС Windows 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 7.6 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3155538, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-053

Бюллетень описывает уязвимости в машинах скриптов JScript и VBScript Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-053.
  2. Описание угрозы:

    Множественные уязвимости нарушения структуры памяти в машине скриптов:
    Множественные уязвимости удаленного выполнения кода возникают при обработке объектов в памяти в Internet Explorer машинами скриптов JScript и VBScript. Уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал данные уязвимости, может получить те же пользовательские права, что и текущий пользователь. В том случае, если активный пользователь обладает правами администратора, атакующий может получить контроль над всей системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    При проведении веб-атаки злоумышленник может убедить пользователя посетить веб-сайт, специально разработанный для эксплуатации уязвимостей. Злоумышленник также может внедрить элемент ActiveX с пометкой "безопасно для активации" в приложение или документ Microsoft Office, который будет использовать машину скриптов IE. Кроме того, злоумышленник может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем. Эти сайты могут содержать специально спроектированный контент, который позволяет проэксплуатировать уязвимости.

    Обновление закрывает уязвимости модифицируя способ обработки объектов в памяти машинами JScript и VBScript.
  3. Список уязвимых компонентов: ОС Windows версий Vista, Server 2008, Server 2008 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 7.6 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3156764, выпущенного 10 мая 2016 года.

    Способы купирования проблемы вручную:

    • В 32-битных системах откройте административную консоль и введите следующие команды:
      1. takeown /f %windir%\system32\vbscript.dll
      2. cacls %windir%\system32\vbscript.dll /E /P everyone:N
      3. cacls %windir%\system32\jscript.dll /E /P everyone:N

    • В 64-битных системах откройте административную консоль и введите следующие команды:
      1. takeown /f %windir%\syswow64\vbscript.dll
      2. cacls %windir%\syswow64\vbscript.dll /E /P everyone:N
      3. cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    Отмена указанных выше действий:

    • В 32-битных системах откройте административную консоль и введите следующие команды:
      1. cacls %windir%\system32\vbscript.dll /E /R everyone
      2. cacls %windir%\system32\jscript.dll /E /R everyone

    • В 64-битных системах откройте административную консоль и введите следующие команды:
      1. cacls %windir%\syswow64\vbscript.dll /E /R everyone
      2. cacls %windir%\syswow64\jscript.dll /E /R everyone

Бюллетень безопасности Microsoft MS16-054

Бюллетень описывает уязвимости в Microsoft Office.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-054.
  2. Описание угрозы:

    Множественные уязвимости нарушения структуры памяти в Microsoft Office:
    Множественные уязвимости удаленного выполнения кода возникают в Microsoft Office, когда программное обеспечение Office не справляется с обработкой объектов в памяти. Злоумышленник, который успешно проэксплуатировал уязвимости, может запустить код в контексте текущего пользователя. В том случае, если активный пользователь обладает правами администратора, атакующий может получить контроль над всей системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимостям, чем пользователи, которые работают с полными административными правами.

    Для эксплуатации уязвимостей необходимо открыть специально созданный файл уязвимой версией ПО Microsoft Office. При проведении атаки по электронной почте злоумышленник может послать специально созданный файл и убедить пользователя его открыть. При проведении онлайн-атаки злоумышленник использовать веб-сайт (или использовать скомпрометированный сайт, который принимает контент, предоставленный пользователями), который содержит специально созданный файл для эксплуатации уязвимостей. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере.

    Обновление закрывает уязвимости, корректируя то, как Microsoft Office обрабатывает объекты в памяти.

    Уязвимость удаленного доступа в компоненте графики Microsoft Office - CVE-2016-0183:
    Уязвимость удаленного выполнения кода возникает, когда библиотека шрифтов Windows неправильно обрабатывает специально созданные внедренные шрифты. Злоумышленник, проэксплуатировавший данную уязвимость, может получить контроль над уязвимой системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимостям, чем пользователи, которые работают с полными административными правами.

    Злоумышленник может убедить пользователя посетить веб-сайт, специально разработанный для эксплуатации уязвимости. Злоумышленник также может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере.

    Обновление закрывает уязвимость, корректируя как библиотека шрифтов Windows обрабатывает встроенные шрифты.
  3. Список уязвимых компонентов: Microsoft Office (2007, 2010, 2013, 2013 RT, 2016, for Mac 2011 и 2016, Compatibility Pack Service Pack 3), Microsoft Office Word Viewer, Microsoft SharePoint Server 2010 Service Pack 2, Microsoft Office Web Apps 2010.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3155544, выпущенного 10 мая 2016 года.

    Способы купирования проблемы вручную:

    • Для CVE-2016-0183:
      • Используйте политику блокирования файлов Microsoft Office, чтобы предотвратить открытие файлов RTF из неизвестных или недоверенных ресурсов Microsoft Office.

    • Для Office 2007:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 1

    • Для Office 2010:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 2
      • Поставьте значение OpenInProtectedView (DWORD) в 0

    • Для Office 2013:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 2
      • Поставьте значение OpenInProtectedView (DWORD) в 0

    Отмена приведенных выше действий:

    • Для Office 2007:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 0

    • Для Office 2010:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 0
      • Поставьте значение OpenInProtectedView (DWORD) в 0

    • Для Office 2013:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 0
      • Поставьте значение OpenInProtectedView (DWORD) в 0

Бюллетень безопасности Microsoft MS16-055

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-055.
  2. Описание угрозы:

    Множественные уязвимости разглашения информации в компоненте Microsoft Windows Graphics:
    Уязвимость разглашения информации возникают, когда компонент Windows GDI неправильно разглашает содержимое своей памяти. Злоумышленник, который успешно проэксплуатировал узвимости, может получить информацию для дальнейшей компрометации пользовательской системы.

    Уязвимость удаленного исполнения кода в компоненте Windows Graphics - CVE-2016-0170:
    Уязвимость удаленного выполнения кода возникает, когда компонент Windows GDI некорректно обрабатывает объекты в памяти. Злоумышленник, проэксплуатировавший данную уязвимость, может получить контроль над уязвимой системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимости, чем пользователи, которые работают с полными административными правами.

    Уязвимость Use After Free в Dircet3D - CVE-2016-0184:
    Уязвимость удаленного выполнения кода возникает, когда компонент Windows GDI некорректно обрабатывает объекты в памяти. Злоумышленник, проэксплуатировавший данную уязвимость, может получить контроль над уязвимой системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимости, чем пользователи, которые работают с полными административными правами.

    Уязвимость нарушения структуры памяти в компоненте Windows Imaging - CVE-2016-0195:
    Уязвимость удаленного выполнения кода возникает, когда компонент Windows Imaging некорректно обрабатывает объекты в памяти. Злоумышленник, проэксплуатировавший данную уязвимость, может получить контроль над уязвимой системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимости, чем пользователи, которые работают с полными административными правами.

    Есть несколько способов проэксплуатировать данные уязвимости. Злоумышленник может убедить пользователя посетить веб-сайт, специально разработанный для эксплуатации уязвимости. Злоумышленник также может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере.

    Обновление закрывает уязвимости, корректируя то, как компонент Windows GDI обрабатывает объекты в памяти.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3156754, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-056

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-056.
  2. Описание угрозы:

    Уязвимость нарушения структуры памяти в Windows Journal - CVE-2016-0182
    Уязвимость удаленного выполнения кода возникает в Microsoft Windows, когда специально созданный файл журнала открывается в Windows Journal. Злоумышленник, проэксплуатировавший данную уязвимость, может получить контроль над системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимости, чем пользователи, которые работают с полными административными правами.

    Для успешной атаки необходимо открытие файла журнала подверженной версией Windows Journal. В сценарии веб-атаки, злоумышленник может проэксплуатировать уязвимость, отправив специально созданный файл журнала пользователю и убедив его открыть.

    Обновление закрывает уязвимость, модифицируя способ обработки файлов журнала журналом Windows.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3156761, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-057

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-057.
  2. Описание угрозы:

    Уязвимость удаленного исполнения кода в Windows Shell - CVE-2016-0179
    Уязвимость удаленного выполнения кода возникает, когда Windows Shell неправильно обрабатывает объекты в памяти. Злоумышленник, проэксплуатировавший данную уязвимость, может получить контроль над системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимости, чем пользователи, которые работают с полными административными правами.

    Есть несколько способов проэксплуатировать данные уязвимости. Злоумышленник может убедить пользователя посетить веб-сайт, специально разработанный для эксплуатации уязвимости. Злоумышленник также может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере.

    Обновление закрывает эту уязвимость, корректируя способ обработки объектов в памяти Windows Shell.
  3. Список уязвимых компонентов: ОС Windows версий 8.1, RT 8.1, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3156987, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-058

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-058.
  2. Описание угрозы:

    Уязвимость удаленного исполнения кода в компоненте загрузки библиотек Windows - CVE-2016-0152:
    Уязвимость удаленного выполнения кода возникает, когда Microsoft Windows некорректно обрабатывает ввод перед загрузкой определенных библиотек. Злоумышленник, проэксплуатировавший данную уязвимость, может получить контроль над уязвимой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимости, чем пользователи, которые работают с полными административными правами.

    Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к локальной системе и иметь возможность запустить вредоносное приложение.

    Обновление закрывает уязвимость, корректируя то, как Windows проверяет ввод при загрузке определенных библиотек.
  3. Список уязвимых компонентов: ОС Windows версий Vista, Server 2008.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 7.2 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3141083, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-059

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-059.
  2. Описание угрозы:

    Уязвимость удаленного исполнения кода в Windows Media Center - CVE-2016-0185
    Уязвимость удаленного исполнения кода возникает, когда Windows Media Center открывает специально созданный файл Media Center link (.mcl), который ссылается на вредоносный код. Злоумышленник, проэксплуатировавший данную уязвимость, может получить контроль над уязвимой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимости, чем пользователи, которые работают с полными административными правами. Рабочие станции находятся под наибольшим риском от этой уязвимости.

    Для эксплуатации уязвимости необходимо взаимодействие с пользователем. В сценарии веб-атаки пользователю необходимо перейти на скомпрометированный сайт, который злоумышленник использует для размещения вредоносноuо файла .mcl. В сценарии атаки по электронной почте злоумышленнику придется убедить пользователя, авторизованного на уязвимой рабочей станции, нажать на ссылку в электронном сообщении.

    Обновление закрывает уязвимость, корректируя то, как Windows Media Center обрабатывает определенные ресурсы в файлах .mcl.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3150220, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-060

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-060.
  2. Описание угрозы:

    Уязвимость повышения привилегий в Windows Kernel - CVE-2016-0180
    Уязвимость повышения привилегий возникает в Microsoft Windows, когда Windows Kernel не справляется с правильной обработкой определенных символических ссылок. Злоумышленник, который успешно проэкплуатировал данную уязвимость, может потенциально подучить доступ к ключам регистра и таким образом повысить привилегии. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации этой уязвимости злоумышленнику необходимо авторизоваться в системе и запустить специально созданное приложение, которое может проэксплуатировать уязвимость.

    Обновление закрывает уязвимость, способ, которым Windows kernel обрабатывает символические ссылки.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, 10, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 7.2 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3154846, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-061

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-061.
  2. Описание угрозы:

    Уязвимость удаленного выполнения кода в машине представления сетевых данных RPC - CVE-2016-0178
    Уязвимость удаленного выполнения кода возникает при обработке Microsoft Windows специально созданных запросов удаленного вызова процедур (RPC). Уязвимость может возникнуть, когда машина представления сетевых данных RPC неправильно освобождает память. Аутентифицированный злоумышленник, который успешно проэксплуатировал уязвимость, может исполнить код и получить контроль над уязвимой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Аутентифицированный злоумышленник может проэксплуатировать уязвимость, создавая искаженные запросы RPC к подверженному уязвимости хосту.

    Обновление закрывает эту уязвимость, модифицируя способ обработки RPC сообщений Microsoft Windows.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, 10, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.0 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3155520, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-062

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-062.
  2. Описание угрозы:

    Множественные уязвимости повышения привилегий в Win32k
    Множественные уязвимости повышения привилегий возникают в Windows, когда драйвер режима ядра Windows не справляется с правильной обработкой объектов в памяти. Злоумышленник, который успешно проэксплуатировал уязвимости, может исполнить код в режиме ядра. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации этой уязвимости злоумышленнику необходимо авторизоваться в системе. Злоумышленник может запустить специально созданное приложение, которое может проэксплуатировать уязвимость и получить контроль над подверженной системой.

    Обновление закрывает уязвимости, корректируя способ, которым драйвер режима ядра Windows обрабатывает объекты в памяти.

    Уязвимость разглашения информации Win32k - CVE-2016-0175
    Уязвимость обхода механизма безопасности возникает в ядре Windows и позволяет злоумышленнику получить информацию, которая может привести к обходу KASLR (Kernel Space Layout Randomization, Рандомизация адресного пространства ядра). Злоумышленник, который успешно проэксплуатировал уязвимость, может получить адрес объекта ядра. Для эксплуатации этой уязвимости злоумышленнику необходимо авторизоваться в системе и запустить специальное приложение. Обновление закрывает уязвимость, корректируя то, как ядро Windws обрабатывает адреса в памяти.

    Уязвимость повышения привилегий в подсистеме ядра Microsoft DirectX Graphics - CVE-2016-0176
    Уязвимость повышения привилегий возникает, когда подсистема DirectX Graphics ядра (dxgkrnl.sys) неправильно обрабатывает объекты в памяти. В сценарии локальной атаки злоумышленник может проэксплуатировать уязвимость, запустив специально созданное приложение для получения контроля над подверженной системой. Злоумышленник, который успешно проэксплуатировал данную уязвимость, может запустить процессы в привилегированном контексте. Обновление закрывает уязвимости, корректируя способ обработки объектов в памяти графической подсистемой ядра Microsoft Directx Graphics.

    Уязвимость повышения привилегий в подсистеме ядра Microsoft DirectX Graphics - CVE-2016-0197
    Уязвимость повышения привилегий возникает, когда Windows неправильно обрабатывает объекты в памяти и неправильно размещает объекты в памяти ядра. В сценарии локальной атаки злоумышленник может проэксплуатировать уязвимость, запустив специально созданное приложение для получения контроля над системой.

    Злоумышленник, который успешно проэксплуатировал данную уязвимость, может запустить процессы в привилегированном контексте. Обновление закрывает уязвимость, корректируя способ обработки определенных вызовов и выходов для устранения неправильного размещения объектов памяти и повышения привилегий графической подсистемой ядра Microsoft Directx Graphics.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, 10, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 7.2 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3158222, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-064

Бюллетень описывает уязвимости в Adobe Flash Player.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-064.
  2. Описание угрозы:

    Это обновление безопасности исправляет уязвимости в Adobe Flash Player, установленном на всех поддерживаемых версиях Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 и Windows 10.

    Уязвимости в Adobe Flash Player устраняются за счет обновления уязвимых библиотек Adobe Flash, содержащихся в Internet Explorer 10, Internet Explorer 11 и Microsoft Edge.
  3. Список уязвимых компонентов: ОС Windows версий 8, 8.1, RT 8.1, 10, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 10 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3157993, выпущенного 10 мая 2016 года.
Бюллетень безопасности Microsoft MS16-065

Бюллетень описывает уязвимость в Microsoft .NET Framework.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-065.
  2. Описание угрозы:

    Уязвимость разглашения информации TLS/SSL - CVE-2016-0149:
    Уязвимость разглашения информации присутствует в протоколе TLS/SSL, имплементированном в компоненте шифрования Microsoft .NET Framework. Злоумышленник, который успешно проэксплуатировал данную уязвимость, может расшифровать зашифрованный трафик SSL/TLS.

    Для эксплуатации данной уязвимости злоумышленнику необходимо внедрить незашифрованные данные в защищенный канал и далее применить атаку типа "человек посередине" между целевым пользователем и легитимным сервером.

    Обновление закрывает уязвимость, модифицируя способ, при помощи которого компонент шифрования .NET посылает и получает зашифрованные сетевые пакеты.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 4.3 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3156757, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-066

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-066.
  2. Описание угрозы:

    Уязвимость обхода компонента безопасности целостности кода в гипервизоре - CVE-2016-0181:
    Уязвимость обхода механизма безопасности возникает, когда Windows некорректно разрешает определенным страницам в режиме ядра получать отметку на чтение, запись и исполнение при включенном HVCI (Hypervisor Code Integrity, Целостность кода в гипервизоре).

    Для эксплуатации этой уязвимости злоумышленнику необходимо запустить специальное приложение для обхода механизмов целостности кода в Windows.

    Обновление безопасности закрывает уязвимость, корректируя поведение механизма безопасности для устранения неправильного определения атрибутов RWX страниц при использовании режима HVCI.
  3. Список уязвимых компонентов: ОС Windows 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 2.1 (низкая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3155451, выпущенного 10 мая 2016 года.

Бюллетень безопасности Microsoft MS16-067

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-067.
  2. Описание угрозы:

    Уязвимость разглашения информации при перенаправлении диска в протоколе удаленного рабочего стола - CVE-2016-0190:
    Уязвимость разглашения информации возникает в Microsoft Windows, когда USB-диск, установленный поверх RDP (Remote Desktop Protocol, Протокол удаленного рабочего стола) через Microsoft RemoteFX, неправильно привязан к сессии монтирующего пользователя. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может получить доступ к информации о файлах и директориях на USB-диске пользователя. Обновление закрывает уязвимость, убеждаясь, что доступ к USB-дискам по RDP правильно отсекает возможность доступа не из монтирующей сессии.
  3. Список уязвимых компонентов: ОС Windows версий 8.1, RT 8.1, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 2.1 (низкая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3155784, выпущенного 10 мая 2016 года.


V симпозиум «Современные тенденции в криптографии» (CTCrypt’16) Итоги конференции «Positive Hack Days 2016»