Microsoft виправляє найважливіші помилки в Internet Explorer для виправлення у вівторок

Microsoft виправила 33 вразливості через десять бюлетенів в Internet Explorer, додатках Office, Windows, .NET Framework та Lync в рамках свого випуску в травні Patch Tuesday.

З десяти лише два бюлетені оцінені як "критичні", рейтинг найвищої суворості, заявив Microsoft у своєму дорадчому повідомленні Patch Tuesday. Решта патчів оцінюються як "важливі", що означає, що зловмисники не змогли б використати ваду без участі користувача.

"Хоча 10 патчів, що охоплюють 33 вразливості, можуть здатися великими, це не все погана новина для ІТ", - сказав Пол Генрі, аналітик служби безпеки та криміналістики Lumension.

Виправлення для Internet Explorer

Обидва критичні виправлення призначені для Internet Explorer. Основним питанням цього патч-вівторка в цьому місяці було те, чи Microsoft виправить нещодавно повідомлений нульовий день в Internet Explorer 8. Минулий тиждень Microsoft випустила тимчасове рішення та продовжила повний виправлення (MS13-038) сьогодні.

"З полегшенням зрозуміти, що Microsoft вирішила це так швидко, оскільки його активно експлуатують", - сказав Генрі.

Інший патч IE (MS13-037) - це сукупне оновлення для версій 6, 7, 8, 9 та 10 IE і закриває 11 різних уразливих місць, включаючи вразливості, про які повідомлялося під час змагань Pwn2Own ще у березні.

"З одного рівня, це Microsoft за найкращою їхньою безпекою", - сказав Росс Барретт, старший менеджер з питань інженерної безпеки в Rapid7. Компанія негайно відреагувала на публічне попереджувальне попередження щодо проблеми, вилучила тимчасове рішення, а потім усунула недолік у рамках запланованого оновлення, і все це протягом 11 днів.

З іншого боку, той факт, що Microsoft випускає критичні патчі Internet Explorer практично щомісяця, підкреслює, що не так у тому, як Microsoft обробляє патчі та старіші програми, сказав Барретт. На відміну від цього, браузер Google Chrome оновлюється автоматично, коли виправлення стають доступними, і немає "старої версії" веб-переглядача, яка б переймалася. Microsoft залучає ресурси, підтримуючи старіші версії та піддаючи користувачів ризику, заявив Баррет.

Інші бюлетені до примітки

Інший помітний бюлетень стосується умови відмови в обслуговуванні, що впливає на клієнт та сервер HTTP в Windows (MS13-039). Проблема стосується лише нових версій Windows, зокрема Windows Server 2012. Напади, які використовують цю вразливість, можуть "бути потенційно дуже руйнівними", оскільки багато віддалених служб та інтеграції Active Directory покладаються на http.sys, сказав Барретт.

"Усі команди ІТ-безпеки повинні швидко перейти до цього, оскільки експлуатація, ймовірно, буде розроблена дуже швидко. Успішний експлуатація може спричинити DoS на постраждалих серверах, створюючи тимчасові відключення", - сказав Ламар Бейлі, директор з досліджень і розробок безпеки Tripwire.

Microsoft вирішила вразливості в різних продуктах Office, таких як помилки віддаленого виконання коду в Microsoft Lync - раніше Communicator - (MS13-041), і 11 проблем з пошкодженням пам'яті в Publisher (MS13-042), а також помилки в Microsoft Word і Excel (MS13- 042). Уразливість Lync може бути використана лише в тому випадку, якщо два користувачі під час сеансу Lync діляться шкідливим вмістом. "Маємо надію, що ніхто з ваших користувачів не веде розмови про Lync з кимось, хто намагається напасти на ваші системи. У такому випадку ви маєте гаразд", - сказав Генрі.

Недоступність підробки шахрайства та обхід аутентифікації в .NET (MS13-040) не впливає на конфігурацію за замовчуванням. Ще один бюлетень стосувався вразливості щодо розкриття інформації в Windows Essentials 2012 (MS13-045). Microsoft також виправила три локальних помилки привілеїв у драйверах режиму Windows Kernel (MS13-046). Найважчі з помилок впливають на Windows XP і дозволяють зловмисникам запускати процеси в підвищеному контексті.

"Не забудьте скоріше скопіювати Internet Explorer (MS13-037 та MS13-038), а також MS13-039 на веб-серверах, що стоять перед Інтернетом, а потім інші патчі", - сказав Марк Мейфрет, представник CTO BeyondTrust.