• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Microsoft исправила множественные уязвимости в своих продуктах

14.06.2016 в рамках «вторника обновлений» компания Microsoft выпустила 16 бюллетеней безопасности, 5 из которых имеют статус критических (MS16-068—MS16-071, MS16-063).

522884

14.06.2016 в рамках «вторника обновлений» компания Microsoft выпустила 16 бюллетеней безопасности, 5 из которых имеют статус критических (MS16-068—MS16-071, MS16-063).

Бюллетень безопасности Microsoft MS16-063

Бюллетень описывает критические уязвимости в браузере Internet Explorer.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-063.
  2. Описание угрозы:

    Уязвимости нарушения памяти в Microsoft Internet Explorer:
    Уязвимости удаленного исполнения кода возникают в Internet Explorer в случае, если он неправильно обращается к объектам в памяти. Уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал данную уязвимость, может получить такие же пользовательские права, что и текущий пользователь. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Злоумышленник может разместить специальный сайт, спроектированный для эксплуатации уязвимостей при помощи Internet Explorer, и убедить пользователя просмотреть сайт. Злоумышленник также может воспользоваться скомпрометированными сайтами или сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем, добавив на них специально спроектированный контент, который позволяет проэксплуатировать уязвимости. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере.

    Обновление закрывает уязвимости, изменяя способ обработки объектов в памяти Internet Explorer.

    Множественные уязвимости нарушения памяти в машине скриптов:
    Множественные уязвимости удаленного исполнения кода возникают в обработчиках машин JScript 9, JScript и VBScript при обработке объектов в памяти в Internet Explorer. Уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал данную уязвимость, может получить такие же пользовательские права, что и текущий пользователь. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    В сценарии веб-атаки злоумышленник может разместить специальный сайт, спроектированный для эксплуатации уязвимостей при помощи Internet Explorer, и убедить пользователя просмотреть данный сайт. Злоумышленник также может вставить элемент ActiveX с маркировкой «безопасен для инициализации» в приложении или документе Microsoft Office, котрый использует машину обработки Internet Explorer. Кроме того, злоумышленник может воспользоваться скомпрометированными сайтами или сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем, добавив специальный контент для эксплуатации уязвимостей.

    Обновление закрывает уязвимости, модифицируя то, как Jscript 9, Jscript и VBScript обрабатывают объекты в памяти.

    Уязвимость XSS фильтра в Internet Explorer - CVE-2016-3212:
    Уязвимость удаленного исполнения кода возникает в Internet Explorer в случае, если фильтр XSS в Internet Explorer неправильно определяет JavaScript при определенных условиях. Злоумышленник, который проэксплуатировал эту уязвимость может запустить код с привилегиями текущего пользователя. В сценарии веб-атаки злоумышленник может разместить специальный сайт, спроектированный для эксплуатации уязвимостей при помощи Internet Explorer, а также он может воспользоваться скомпрометированными сайтами или сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем.

    Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку, которая приведет пользователя на скомпрометированный сайт.

    Обновление закрывает уязвимость, исправляя валидацию JavaScriptа XSS фильтром.

    Уязвимость повышения привилегий в WPAD - CVE-2016-3213:
    Уязвимость повышения привилегий возникает в Microsoft Windows в случае, если протокол WPAD (Web Proxy Auto Discovery, Автоматический поиск веб прокси) использует уязвимый процесс поиска прокси. Злоумышленник, который успешно проэксплуатировал эту уязвимость может обойти ограничения безопасности и получить повышенные привилегии на целевой системе. Для эксплуатации уязвимости злоумышленник может ответить на именные запросы NetBIOUS для WPAD.

    Обновление закрывает уязвимость, корректируя, как Windows обрабатывает поиск прокси.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS:
    Номер уязвимости Индекс CVSS
    CVE-2016-0199 CVSS 9.3 (высокая)
    CVE-2016-0200 CVSS 9.3 (высокая)
    CVE-2016-3202 CVSS 7.6 (высокая)
    CVE-2016-3205 CVSS 7.6 (высокая)
    CVE-2016-3206 CVSS 7.6 (высокая)
    CVE-2016-3207 CVSS 7.6 (высокая)
    CVE-2016-3210 CVSS 9.3 (высокая)
    CVE-2016-3211 CVSS 9.3 (высокая)
    CVE-2016-3212 CVSS 4.3 (средняя)
    CVE-2016-3213 CVSS 9.3 (высокая)

    Итоговая уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется посредством установки обновления безопасности KB3163649, выпущенного 14 июня 2016 года.

    Уязвимости машин скриптов можно устранить следующим образом:

    • В 32-битных системах откройте административную консоль и введите следующие команды:
      1. takeown /f %windir%\system32\vbscript.dll
      2. cacls %windir%\system32\vbscript.dll /E /P everyone:N
      3. cacls %windir%\system32\jscript.dll /E /P everyone:N

    • В 64-битных системах откройте административную консоль и введите следующие команды:
      1. takeown /f %windir%\syswow64\vbscript.dll
      2. cacls %windir%\syswow64\vbscript.dll /E /P everyone:N
      3. cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    Отмена указанных выше действий:

    • В 32-битных системах откройте административную консоль и введите следующие команды:
      1. cacls %windir%\system32\vbscript.dll /E /R everyone
      2. cacls %windir%\system32\jscript.dll /E /R everyone

    • В 64-битных системах откройте административную консоль и введите следующие команды:
      1. cacls %windir%\syswow64\vbscript.dll /E /R everyone
      2. cacls %windir%\syswow64\jscript.dll /E /R everyone

Бюллетень безопасности Microsoft MS16-068

Бюллетень описывает критические уязвимости в Microsoft Edge.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-068.
  2. Описание угрозы:

    Множественные уязвимости в машине скриптов:
    Множественные уязвимости удаленного исполнения кода возникают при обработки объектов в памяти Microsoft Edge машиной JavaScript скриптов Chakra. Уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал данную уязвимость, может получить такие же пользовательские права, что и текущий пользователь. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    В сценарии веб-атаки может разместить специальный сайт, спроектированный для эксплуатации уязвимостей при помощи Microsoft Edge, и убедить пользователя просмотреть сайт. Злоумышленник также может вставить элемент ActiveX с маркировкой «безопасен для инициализации» в приложении или документе Microsoft Office, который использует машину обработки Edge. Кроме того, злоумышленник может воспользоваться скомпрометированными сайтами или сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем, добавив специальный контент для эксплуатации уязвимостей.

    Обновление закрывает уязвимости, модифицируя то, как Chakra JavaScript обрабатывает объекты в памяти.

    Множественные уязвимости разглашения информации в Windows PDF:
    Уязвимости разглашения информации возникают в Microsoft Windows, когда пользователь открывает специально созданные файлы формата .pdf. Злоумышленник, который успешно проэксплуатировал эти уязвимости, может читать информацию в контексте текущего пользователя. Для эксплуатации уязвимостей злоумышленнику надо убедить пользователя открыть файл .pdf.

    Обновление закрывает уязвимости, модифицируя обработку pdf-файлов Windows.

    Уязвимость удаленного исполнения кода в Windows PDF – CVE-2016-3203:
    Уязвимость исполнения удаленного кода возникает в Microsodt Windows, если пользователь открывает специально созданный файл формата .pdf. Злоумышленник, который успешно проэксплуатировал уязвимость, может исполнить код в контексте текущего пользователя. Для эксплуатации уязвимости злоумышленнику надо убедить пользователя открыть файл .pdf.

    Обновление закрывает уязвимости, модифицируя обработку pdf-файлов Windows.
  3. Список уязвимых компонентов: ОС Windows 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS:
    Номер уязвимости Индекс CVSS
    CVE-2016-3198 CVSS 4.3 (средняя)
    CVE-2016-3199 CVSS 9.3 (высокая)
    CVE-2016-3201 CVSS 4.3 (средняя)
    CVE-2016-3202 CVSS 7.6 (высокая)
    CVE-2016-3203 CVSS 9.3 (высокая)
    CVE-2016-3214 CVSS 9.3(высокая)
    CVE-2016-3215 CVSS 4.3 (средняя)
    CVE-2016-3222 CVSS 9.3 (высокая)

    Итоговая уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3163656, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-069

Бюллетень описывает уязвимости в машинах скриптов JScript и VBScript Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-069.
  2. Описание угрозы:

    Множественные уязвимости нарушения структуры памяти в машине скриптов:
    Множественные уязвимости удаленного выполнения кода возникают при обработке объектов в памяти в Internet Explorer машинами скриптов JScript и VBScript. Уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал эти уязвимости может получить те же пользовательские права, что и текущий пользователь. В том случае, если активный пользователь обладает правами администратора, атакующий может получить контроль над всей системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    При проведении веб-атаки злоумышленник может убедить пользователя посетить веб-сайт, специально разработанный для эксплуатации уязвимостией. Злоумышленник также может внедрить элемент ActiveX с пометкой "безопасно для активации" в приложение или документ Microsoft Office, который использует машину скриптов Internet Explorer. Кроме того, злоумышленник может воспользоваться скомпрометированными веб-сайтами и веб-сайтами, которые принимают или размещают рекламу или содержимое, предоставленное пользователем, разместив на них специально спроектированный контент для эксплуатации уязвимостей.

    Обновление закрывает уязвимости, модифицируя способ обработки объектов в памяти машинами JScript и VBScript.
  3. Список уязвимых компонентов: ОС Windows версий Vista, Server 2008, Server 2008 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 7.6 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется посредством установки обновления безопасности KB3163640, выпущенного 14 июня 2016 года.

    Способы купирования проблемы вручную:

    • В 32-битных системах откройте административную консоль и введите следующие команды:
      1. takeown /f %windir%\system32\vbscript.dll
      2. cacls %windir%\system32\vbscript.dll /E /P everyone:N
      3. cacls %windir%\system32\jscript.dll /E /P everyone:N

    • В 64-битных системах откройте административную консоль и введите следующие команды:
      1. takeown /f %windir%\syswow64\vbscript.dll
      2. cacls %windir%\syswow64\vbscript.dll /E /P everyone:N
      3. cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    Отмена указанных выше действий:

    • В 32-битных системах откройте административную консоль и введите следующие команды:
      1. cacls %windir%\system32\vbscript.dll /E /R everyone
      2. cacls %windir%\system32\jscript.dll /E /R everyone

    • В 64-битных системах откройте административную консоль и введите следующие команды:
      1. cacls %windir%\syswow64\vbscript.dll /E /R everyone
      2. cacls %windir%\syswow64\jscript.dll /E /R everyone

Бюллетень безопасности Microsoft MS16-070

Бюллетень описывает уязвимости в Microsoft Office.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-070.
  2. Описание угрозы:

    Множественные уязвимости нарушения структуры памяти в Microsoft Office:
    Множественные уязвимости удаленного выполнения кода возникают в Microsoft Office, когда программное обеспечение Office не справляется с обработкой объектов в памяти. Злоумышленник, который успешно проэксплуатировал уязвимости может запустить код в контексте текущего пользователя. В том случае, если активный пользователь обладает правами администратора, атакующий может получить контроль над всей системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимостям, чем пользователи, которые работают с полными административными правами.

    Для эксплуатации уязвимостей необходимо открытие пользователем специально созданного файла уязвимой версией ПО Microsoft Office. При проведении атаки по электронной почте злоумышленник может отправить пользователю специально созданный файл и убедить его открыть. При проведении онлайн-атаки злоумышленник может использовать веб-сайт (или использовать скомпрометированный сайт, который принимает контент, предоставленный пользователями), который содержит специально созданный файл для эксплуатации уязвимостей. Чтобы заставить пользователя перейти на сайт, злоумышленнику придется убедить пользователя произвести какое-то действие, например, нажать на ссылку в электронном письме или мессенджере, а после этого убедить пользователя открыть файл.

    Обновление закрывает уязвимости, корректируя то, как Microsoft Office обрабатывает объекты в памяти.

    Уязвимость разглашения информации в Microsoft Office – CVE-2016-3234:
    Уязвимость разглашения информации возникает в Microsoft Office, когда он неправильно разглашает содержимое памяти. Злоумышленник, который проэксплуатировал уязвимость, может использовать информацию для компрометации пользовательского компьютера или данных. Для эксплуатации уязвимости злоумышленник может создать специальный файл и убедить пользователя его открыть. Злоумышленник должен знать адрес созданного объекта в памяти.

    Обновление закрывает уязвимость, модифицируя то, как некоторые функции обрабатывают объекты в памяти.

    Уязвимость дозагрузки DLL в Microsoft Office OLE – CVE-2016-3235:
    Уязвимость удаленного кода возникает в случае, если Windows неправильно проверяет ввод перед загрузкой библиотек. Злоумышленник, успешно проэксплуатировавший данную уязвимость, может получить контроль над уязвимой системой. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимостям, чем пользователи, которые работают с полными административными правами.

    Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к локальной системе и возможность исполнить специально созданное приложение.

    Обновление закрывает уязвимость, изменяя способ проверки ввода перед загрузкой библиотек в Windows.
  3. Список уязвимых компонентов: Microsoft Office (2007, 2010, 2013, 2013 RT, 2016, for Mac 2011 и 2016, Compatibility Pack Service Pack 3), Microsoft Office Word Viewer, Microsoft Visio Viewer, Microsoft SharePoint Server (2010, 2013), Microsoft Office Web Apps (2010, 2013), Office Online Server.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется посредством установки обновления безопасности KB3163610, выпущенного 14 июня 2016 года.

    Способы купирования проблемы вручную:

    • Для CVE-2016-3234:
      • Используйте политику блокирования файлов Microsoft Office, чтобы предотвраить открытие файлов RTF из неизвестных или недоверенных ресурсов Microsoft Office.

    • Для Office 2007:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 1

    • Для Office 2010:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Security\FileBlock]
      • Поставьте значение RtfFiles (DWORD) в 2
      • Поставьте значение OpenInProtectedView (DWORD) в 0

    • Для Office 2013:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 2
      • Поставьте значение OpenInProtectedView (DWORD) в 0

    Отмена приведенных выше действий:

    • Для Office 2007:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 0

    • Для Office 2010:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 0
      • Поставьте значение OpenInProtectedView (DWORD) в 0

    • Для Office 2013:
      • Запустите regedit.exe под администратором и перейдите к следующему ключу:
        [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Word\Security\FileOpenBlock]
      • Поставьте значение RtfFiles (DWORD) в 0
      • Поставьте значение OpenInProtectedView (DWORD) в 0

Бюллетень безопасности Microsoft MS16-071

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-071.
  2. Описание угрозы:

    Уязвимость «Use-after-free» в Windows DNS – CVE-2016-3227:
    Уязвимость удаленного исполнения кода возникает в Windows DNS (Domain Name System, система доменных имен) серверах, когда они не справляются с правильной обработкой запросов. Злоумышленник, который успешно проэксплуатирвал эту уязвимость может запустить код в контексте локального системного аккаунта. Серверы Windows, которые сконфигурированы как серверы DNS находятся в зоне риска от этой уязвимости.

    Для эксплуатации уязвимости неаутентифицированный злоумышленник может послать вредоносный запрос серверу Windows DNS.

    Обновление закрывает уязвимость, модифицируя то, как серверы Windows DNS обрабатывают запросы.
  3. Список уязвимых компонентов: ОС Windows версий Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 10.0 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3164065, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-072

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-072.
  2. Описание угрозы:

    Уязвимость повышения привилегий в групповых политиках – CVE-2016-3223:
    Уязвимость повышения привилегий возникает в Microsoft Windows при обработке обновлений групповых политик. Злоумышленник, который успешно проэксплуатировал эту уязвимость, потенциально может повысить привилегии или произвести дополнительные привилегированные действия на целевой машине.

    Для эксплуатации этой уязвимости злоумышленнику необходимо произвести атаку типа «человек посередине» на трафик, проходящий между контроллером домена и целевой машиной. В результате злоумышленник сможет создать групповую политику для передачи стандартному пользователю прав администратора.

    Обновление закрывает уязвимость, заставляя использовать аутентификацию Kerberos для определенных запросов по LDAP.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3163622, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-073

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-073.
  2. Описание угрозы:

    Множественные уязвимости повышения привилегий в Win32k:
    Множественные уязвимости повышения привилегий возникают в Windows, когда драйвер режима ядра Windows не справляется с правильной обработкой объектов в памяти. Злоумышленник, который успешно проэксплуатировал эти уязвимости, сможет запустить код в контексте ядра. в результате злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к локальной системе и возможность исполнить специально созданное приложение.

    Обновление закрывает уязвимости, корректируя способ обработки объектов в памяти драйвером ядра Windows.

    Уязвимость разглашения информации в Windows Virtual PCI – CVE-2016-3232:
    Уязвимость разглашения информации возникает, когда провайдер виртуального сервиса (Virtual Service Provider, VSP) Windows Virtual PCI (VPCI) неправильно обрабатывает неинициализированную память. Злоумышленник, который успешно проэксплуатировал эту уязвимость, потенциально может просмотреть содержимое памяти, к которому у него не должно быть доступа.

    Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к локальной системе и возможность исполнить специально созданное приложение. Уязвимость не позволит злоумышленнику исполнить код или напрямую повысить привилегии, но может быть использована для получения информации, которая, в свою очередь, может быть использована для дальнейшей компрометации системы.

    Обновление закрывает уязвимость, корректируя работу с памятью VPCI.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 6.9 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3164028, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-074

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-074.
  2. Описание угрозы:

    Уязвимость разглашения информации в компоненте графики Windows – CVE-2016-3216:
    Уязвимость разглашения информации возникает, когда компонент графики Windows (GDI32.dll) не справляется с правильной обработкой объектов в памяти, разрешая злоумышленнику получить информацию, которая может привести к обходу механизмов безопасности ASLR. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может спровоцировать разглашение информации для обхода механизмов безопасности ASLR, которые защищают пользователей от широкого класса уязвимостей.

    Сам по себе обход механизма безопасности не приводит к исполнению кода. Однако, злоумышленник может использовать обход ASLR вместе с другой уязвимостью, например, удаленного исполнения кода.

    Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя запустить специально созданное приложение.

    Обновление закрывает уязвимость, корректируя способ обработки адресов в памяти в компоненте графики Windows.

    Уязвимость повышения привилегий в Win32k – CVE-2016-3219:
    Уязвимость повышения привилегий возникает в Windows при неправильной обработке объектов в памяти. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может запускать процессы в контексте повышенных привилегий.

    В сценарии локальной атаки злоумышленник может проэксплуатировать уязвимость, запустив специально созданное приложение для получения контроля над уязвимой системой.

    Обновление закрывает уязвимость, корректируя способ обработки объектов в памяти драйвером ядра Windows и помогая предотвратить непредусмотренное повышение привилегий из пользовательского режима.

    Уязвимость повышения привилегий в ATMFD.dll – CVE-2016-3220:
    Уязвимость повышения привилегий возникает в драйвере Adobe Type Manager Font Driver, когда он не справляется с правильной обработкой объектов в памяти. Злоумышленник, успешно проэксплуатировавший эту уязвимость, может запустить код и получить контроль над подверженной системой. В результате злоумышленник сможет устанавливать программы, просматривать, изменять и удалять данные, а также создавать учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимости злоумышленнику необходимо выполнить вход в систему и запустить специальное приложение.

    Обновление закрывает уязвимость, корректируя то, как ATMFD.dll обрабатывает объекты в памяти.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 6.9 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3164036, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-075

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-075.
  2. Описание угрозы:

    Уязвимость повышения привилегий в Windows SMB Server – CVE-2016-3225:
    Уязвимость повышения привилегий возникает в Microsoft Server Message Block (SMB), когда злоумышленник перенаправляет запрос об аутентификации, предназначенный для другого сервиса, запущенного на той же машине. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может исполнить код с повышенными привилегиями.

    В сценарии локальной атаки злоумышленник может проэксплуатировать уязвимость, запустив специально созданное приложение для получения контроля над уязвимой системой.

    Обновление закрывает уязвимость, корректируя то, как Windows SMB Server обрабатывает запросы перенаправления учетных данных.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 6.9 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3164038, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-076

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-076.
  2. Описание угрозы:

    Уязвимость удаленного исполнения кода при нарушении памяти в Windows Netlogon – CVE-2016-3228:
    Уязвимость может разрешить удаленное исполнение кода, когда Microsoft неправильно обрабатывает объекты в памяти. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может получить те же права, что и текущий пользователь. Для эксплуатации уязвимости злоумышленник, аутентифицированный на домене, может сделать специальный запрос Netlogon к контроллеру домена. Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимостям, чем пользователи, которые работают с полными административными правами.

    Обновление корректирует обработку объектов в памяти Windows для предотвращения их искажения.
  3. Список уязвимых компонентов: ОС Windows версий Server 2008, Server 2008 R2, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.0 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3167691, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-077

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-077.
  2. Описание угрозы:

    Уязвимость повышения привилегий в Windows WPAD – CVE-2016-3213:
    Уязвимость повышения привилегий возникает в Microsoft Windows в случае, если протокол WPAD (Web Proxy Auto Discovery, автоматический поиск веб прокси) использует уязвимый процесс поиска прокси. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может обойти ограничения безопасности и получить повышенные привилегии на целевой системе. Для эксплуатации уязвимости злоумышленник может ответить на именные запросы NetBIOUS для WPAD.

    Обновление закрывает уязвимость, корректируя, как Windows обрабатывает поиск прокси.

    Уязвимость повышения привилегий в Windows WPAD – CVE-2016-3236:
    Уязвимость повышения привилегий возникает при обработке определенных сценариев поиска прокси при помощи метода WPAD в Microsoft Windows. Злоумышленник, успешно проэксплуатировавший данную уязвимость, потенциально может получить доступ к трафику (на чтение и запись), на который у него нет прав.

    Обновление закрывает уязвимость, корректируя автоматическое детектирование прокси в Windows.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, 10, Server 2008, Server 2008 R2, Server 2012.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 10.0 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3165191, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-078

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-078.
  2. Описание угрозы:

    Уязвимость повышения привилегий в Windows Diagonstics Hub – CVE-2016-3231:
    Уязвимость повышения привилегий возникает, когда сервис Windows Diagnotics Hub Standard Collector неправильно очищает ввод, приводя к небезопасной загрузке библиотек. Злоумышленник, успешно проэксплуатировавший эту уязвимость, может запустить код и получить контроль над уязвимой системой. В результате атакующий сможет устанавливать программы, просматривать, изменять и удалять данные, а также создавать учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимости злоумышленнику необходимо выполнить вход в систему и запустить специальное приложение.

    Обновление закрывает уязвимость, корректируя способ очищения ввода сервиса Windows Diagnotics Hub Standard Collector, чтобы убрать нежелаемые системные привилегии.
  3. Список уязвимых компонентов: ОС Windows версии 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 7.2 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3165479, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-079

Бюллетень описывает уязвимости в Microsoft Exchange Server.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-079.
  2. Описание угрозы:

    Уязвимость разглашения информации в Microsoft Exchange – CVE-2016-0028:
    Обход фильтра электронных писем возникает при обработке HTML сообщений, которые могут привести к разглашению информации. Злоумышленник, который успешно проэксплуатировал уязвимость может идентифицировать пользователя и следить за ним "онлайн", если пользователь посматривает сообщения, используя Outlook Web Access (OWA). Злоумышленник также может комбинировать эту уязвимость с другой, например, межсайтовой подделкой запросов (CSRF), для усиления атаки.

    Для эксплуатации уязвимости злоумышленник может вложить специально созданные URL-адреса изображений в сообщения OWA, которые могут быть загружены без фильтрации и предупреждения с URL-адреса, контролируемого злоумышленником. Вектор обратного запроса использует тактику разглашения информации, используемую в web-маяках и других типах следящих систем.

    Обновление изменяет способ обработки Exchange HTML сообщений. Также в обновлении присутствует закрытие уязвимостей повышение привилегий в библиотеках Oracle Outside In.
  3. Список уязвимых компонентов: ОС Windows версий Microsoft Exchange Server (2007, 2010, 2013, 2016).
  4. Оценка уровня опасности в соответствии с методикой CVSS: 10.0 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3160339, выпущенного 14 июня 2016 года.
Бюллетень безопасности Microsoft MS16-080

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-080.
  2. Описание угрозы:

    Множественные уязвимости разглашения информации в Windows PDF:
    Уязвимости разглашения информации возникают в Microsoft Windows, когда пользователь открывает специально созданные файлы формата .pdf. Злоумышленник, который успешно проэксплуатировал эти уязвимости, может читать информацию в контексте текущего пользователя.

    Для эксплуатации уязвимостей злоумышленнику необходимо убедить пользователя открыть файл .pdf.

    Обновление закрывает уязвимости, модифицируя обработку pdf-файлов Windows.

    Уязвимость удаленного исполнения кода в Windows PDF – CVE-2016-3203:
    Уязвимость исполнения удаленного кода возникает в Microsodt Windows, если пользователь открывает специально созданный файл .pdf. Злоумышленник, который успешно проэксплуатировал уязвимость может исполнить код в контексте текущего пользователя.

    Для эксплуатации уязвимостей злоумышленнику необходимо убедить пользователя открыть файл .pdf.

    Обновление закрывает уязвимости, модифицируя обработку pdf-файлов Windows.
  3. Список уязвимых компонентов: ОС Windows версий 8.1, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3164302, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-081

Бюллетень описывает уязвимость в Active Directory.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-081.
  2. Описание угрозы:

    Уязвимость отказа в обслуживании Active Directory – CVE-2016-3226:
    Уязвимость отказа в обслуживании присутствует в Active Directory, когда аутентифицированный злоумышленник создает множественные учетные записи. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может спровоцировать сервис Active Directory не отвечать на запросы.

    Для эксплуатации уязвимости у злоумышленника должны быть валидные учетные записи.

    Обновление закрывает уязвимость, корректируя способ создания учетных записей.
  3. Список уязвимых компонентов: ОС Windows версий Server 2008, Server 2008 R2, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 4.0 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3160352, выпущенного 14 июня 2016 года.

Бюллетень безопасности Microsoft MS16-082

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-082.
  2. Описание угрозы:

    Уязвимость отказа в обслуживании в компоненте поиска Windows – CVE-2016-3230:
    Уязвимость возникает, когда компонент поиска Windows неправильно обрабатывает определенные объекты в памяти. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может спровоцировать уменьшение производительности сервера в степени, достаточной для отказа в обслуживании.
  3. Список уязвимых компонентов: ОС Windows версий 7, 8.1, RT 8.1, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 1.9 (низкая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3165270, выпущенного 14 июня 2016 года.

«Инфофорум-Крым» ИнфоБЕРЕГ-2016