- PVSM.RU - https://www.pvsm.ru -

Microsoft и Adobe выпустили набор обновлений, июнь 2014

Компания Microsoft выпустила серию обновлений для своих продуктов, которые исправляют 66 уникальных уязвимостей в продуктах Windows, Internet Explorer и Office. Два исправления имеют статус Critical и еще четыре Important. Критическое обновление MS14-035 [1] исправляет рекордные в этом году 59 уязвимостей во всех версиях браузера Internet Explorer 6-11 на всех поддерживаемых ОС. Это обновление также исправляет нашумевшую [2] в прошлом месяце 0day уязвимость CVE-2014-1770 в IE8. Исправляемые уязвимости относятся к типу Remote Code Execution и позволяют злоумышленнику выполнить произвольный код через уязвимую версию браузера. Для применения MS14-035 нужна перезагрузка.

Microsoft и Adobe выпустили набор обновлений, июнь 2014

Критическое обновление MS14-036 [3] адресуется для всех поддерживаемых ОС, начиная с Windows Server 2003 и заканчивая Windows 8.1 / RT 8.1. Оно также затрагивает некоторые версии Office 2007-2010. Исправляемая RCE-уязвимость CVE-2014-1817 содержится в компоненте Unicode String Processor и может быть использована атакующими для доставки вредоносного кода в систему через веб-страницу. Другая уязвимость CVE-2014-1818 присутствует в библиотеке gdi32.dll (Windows GDI+) и позволяет злоумышленникам удаленно исполнить код через специально сформированный файл изображения. Для применения исправления требуется перезагрузка. Exploit code likely.

Важное обновление MS14-034 [4] исправляет одну Remote Code Execution уязвимость CVE-2014-2778 в Microsoft Word версии 2007. Атакующие могут выполнить произвольный код в системе через специальным образом сформированный файл MS Word (Embedded Font Vulnerability). Уязвимость содержится в файлах winword.exe и wwlib.dll. Exploit code likely.

Важное обновление MS14-033 [5] исправляет одну Information Disclosure уязвимость CVE-2014-1816 в компоненте XML Core Services (MSXML) для всех поддерживаемых ОС. Злоумышленники могут получить интересующую их информацию (личную информацию пользователя) через специальным образом сформированную веб-страницу, которая содержит элемент управления MSXML. Exploit code unlikely.

Важное обновление MS14-032 [6] исправляет одну Information Disclosure уязвимость CVE-2014-1823 в MS Lynk Server 2010-2013. Exploit code unlikely.

Важное обновление MS14-031 [7] исправляет одну Denial of Service уязвимость CVE-2014-1811 в подсистеме реализации протокола TCP (драйверы Fwpkclnt.sys и Tcpip.sys). Злоумышленник может спровоцировать зависание ОС Vista+ через отправку большого количества специальным образом сформированных сетевых пакетов. Exploit code unlikely.

Важное обновление MS14-030 [8] исправляет одну уязвимость CVE-2014-0296 типа Tampering в компоненте RDP для Windows 7 и Windows 8/8.1. Атакующие могут успешно провести атаку Man-in-the-Middle и получить доступ к информации (для чтения или модификации), проходящей между сервером и клиентом в сессии RDP (RDP MAC Vulnerability). Exploit code unlikely.

1 – Exploit code likely
Вероятность эксплуатирования уязвимости очень высока, злоумышленники могут использовать эксплойт, например, для удаленного выполнения кода.

2 – Exploit code would be difficult to build
Вероятность эксплуатирования средняя, поскольку злоумышленники вряд ли смогут добиться ситуации устойчивого эксплуатирования, а также в силу технической особенности уязвимости и сложности разработки эксплойта.

3 – Exploit code unlikely
Вероятность эксплуатирования минимальная и злоумышленники вряд ли смогут разработать успешно работающий код и воспользоваться этой уязвимостью для проведения атаки.

Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).

Microsoft и Adobe выпустили набор обновлений, июнь 2014

Компания Adobe выпустила набор исправлений APSB14-16 [9] для Flash Player. Эти обновления закрывают шесть Critical уязвимостей, три из которых: CVE-2014-0531, CVE-2014-0532, CVE-2014-0533 могут позволить злоумышленнику выполнить атаку типа XSS (cross-site-scripting). Еще две исправляемых уязвимости CVE-2014-0534 и CVE-2014-0535 относятся к типу Security Feature Bypass. Уязвимость CVE-2014-0536 позволяет злоумышленникам удаленно выполнить код в системе.

Такие браузеры как Internet Explorer (10 & 11 на Windows 8/8.1 через Windows Update) и Google Chrome обновляют свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801 [10]. Проверить вашу версию Flash Player можно здесь [11].

Актуальные версии Flash Player для браузеров выглядят следующим образом.

Microsoft и Adobe выпустили набор обновлений, июнь 2014

image
be secure.

Автор: esetnod32

Источник [12]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/windows/62049

Ссылки в тексте:

[1] MS14-035: https://technet.microsoft.com/library/security/ms14-035

[2] нашумевшую: http://www.zerodayinitiative.com/advisories/ZDI-14-140/

[3] MS14-036: https://technet.microsoft.com/library/security/ms14-036

[4] MS14-034: https://technet.microsoft.com/library/security/ms14-034

[5] MS14-033: https://technet.microsoft.com/en-us/library/security/ms14-033

[6] MS14-032: https://technet.microsoft.com/library/security/ms14-032

[7] MS14-031: https://technet.microsoft.com/library/security/ms14-031

[8] MS14-030: https://technet.microsoft.com/library/security/ms14-030

[9] APSB14-16: http://helpx.adobe.com/security/products/flash-player/apsb14-16.html

[10] Security Advisory 2755801: http://technet.microsoft.com/en-us/security/advisory/2755801

[11] здесь: http://www.adobe.com/software/flash/about/

[12] Источник: http://habrahabr.ru/post/225903/