Microsoft выпустила набор обновлений для своих продуктов

Microsoft выпустила набор обновлений для своих продуктов

Microsoft обновила свои продукты, закрыв в них большое количество уязвимостей. Всего было выпущено 4 обновления со статусом Critical и 10 со статусом Important. Обновлению подверглись ПО SQL Server, веб-браузер Internet Explorer, различные компоненты Windows и Office.

Обновление MS15-065, о котором мы уже писали, исправляет 29 уязвимостей во всех версиях браузера Internet Explorer, включая, 0day RCE уязвимость CVE-2015-2425 в IE11 (Hacking Team 0day), которая, по данным MS, уже эксплуатируется itw.

Компания также закрыла другую 0day LPE уязвимость в Windows (CVE-2015-2387), эксплойт для которой находился в распоряжении Hacking Team. Мы писали про нее ранее, уязвимость присутствует в системном компоненте atmfd.dll (Adobe Type Manager Font Driver) и позволяет повышать привилегии атакующего в системе. Уязвимость была закрыта обновлением MS15-077. Работающая версия эксплойта гуляет по сети и уязвимости присвоен статус «exploited itw», сообщает habrahabr.ru.

Обновление MS15-058 исправляет несколько уязвимостей в ПО Microsoft SQL Server 2008+. Злоумышленники могут использовать уязвимости для удаленного исполнения кода, либо для повышения привилегий в системе. Important. Exploitation Unlikely.

Обновление MS15-066 исправляет опасную RCE уязвимость CVE-2015-2372 в компоненте VBScript.dll (VBScript Scripting Engine) на Windows Server 2003 — 2008. Злоумышленники могут удаленно исполнить код в веб-браузере с использованием специально сформированной веб-страницы с элементом управления VBScript. Critical. Exploitation More Likely.

Обновление MS15-067 исправляет RCE уязвимость CVE-2015-2373 в компоненте RDP сервера на Windows 7 — 8. Атакующий с использованием специально сформированного запроса может исполнить удаленный код в Windows с активным RDP-сервером. Обновлению подверглись исполняемые файлы Rdpvideominiport.sys, Rdpcorets.dll, Rdpudd.dll, а также Rdpcore.dll. Critical. Exploitation Unlikely.

Обновление MS15-068 исправляет две RCE уязвимости CVE-2015-2361 и CVE-2015-2362 в компоненте Hyper-V на Windows Server 2008 — 8.1. С использованием этих уязвимостей приложение с правами администратора на виртуальной машине под управлением Hyper-V может исполнить свой код на системе хоста (virtualization escape). Обновление адресуется драйверу Storvsp.sys. Critical.Exploitation Less Likely.

Обновление MS15-069 исправляет две RCE уязвимости во всех поддерживаемых версиях Windows. Уязвимость CVE-2015-2368 присутствует в системном компоненте Windows и позволяет злоумышленнику исполнить код в системе путем размещения в необходимой директории специальной DLL библиотеки. При запуске пользователем легитимного приложения из той же директории, приложение попытается загрузить в память легитимную библиотеку, но загрузит вместо нее вредоносную. Вторая уязвимость CVE-2015-2369 (DLL Planting Remote Code Execution) присутствует в компоненте Media Device Manager, но для ее эксплуатации, атакующий должен разместить вредоносную DLL в директории с вредоносным RTF-файлом, который будет открыт пользователем. Для Windows 8.1 обновление адресуется библиотеке Atlthunk.dll. Important. Exploitation More Likely.

Обновление MS15-070 исправляет множественные уязвимости в Office. Одна из уязвимостей с идентификатором CVE-2015-2424 (Microsoft Office Memory Corruption Vulnerability) используется злоумышленниками в направленных атаках. Атакующие могут удаленно исполнить код с использованием специальным образом сформированных файлов. Important.

Обновление MS15-071 исправляет LPE уязвимость CVE-2015-2374 в компоненте Netlogon на серверных выпусках Windows. С использованием уязвимости атакующий может поднять свои привилегии в системе через эксплуатацию основного контроллера домена (primary domain controller, PDC). Important. Exploitation Unlikely.

Обновление MS15-072 исправляет одну LPE уязвимость CVE-2015-2364 в компоненте Gdi32.dll на всех поддерживаемых выпусках Windows. Злоумышленник может повысить свои привилегии в системе путем запуска специального приложения с эксплойтом. Important. Exploitation More Likely.

Обновление MS15-073 закрывает множественные уязвимости в драйвере win32k.sys на всех поддерживаемых выпусках Windows. Уязвимости могут использоваться атакующими для повышения своих привилегий в системе (LPE), а также для несанкционированного чтения памяти режима ядра (Information Disclosure). Important.

Обновление MS15-074 закрывает LPE уязвимость CVE-2015-2371 в компоненте установщика программ (Windows Installer) для всех поддерживаемых версий Windows. Злоумышленник может повысить свои привилегии в системе за счет запуска специальным образом сформированного файла дистрибутива .msi. Обновление адресуется различным файлам, включая, Authui.dll, Msi.dll, Msimsg.dll, Msiexec.exe, Msihnd.dll, Appinfo.dll, Consent.exe. Important. Exploitation More Likely.

Обновление MS15-075 закрывает две LPE уязвимости в компоненте OLE (Ole32.dll) для всех поддерживаемых версий Windows. Уязвимости позволяют атакующему повысить свои привилегии в системе с использованием специального приложения. Important.Exploitation More Likely.

Обновление MS15-076 закрывает LPE уязвимость в различных компонентах ОС, отвечающих за реализацию Windows Remote Procedure Call (RPC), на всех поддерживаемых версиях ОС. Обновлению подвергаются системные драйверы Cng.sys, Ksecpkg.sys, а также системная библиотека Lsasrv.dll. Important. Exploitation Less Likely.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Плохо закрытая уязвимость в Apache Tomcat грозит захватом сервера

Участники проектов Apache Software Foundation перевыпустили патч к недавно закрытой в Tomcat уязвимости RCE, так как прежний оказался неполным. Обновления вышли в ветках 9.0, 10.1 и 11.0; их рекомендуется установить с поправкой на версию Java.

Проблема, возникшая в серверном софте из-за дефектного патча от 17 декабря, зарегистрирована как CVE-2024-56337. Уязвимости, которую так неудачно закрыли, был присвоен идентификатор CVE-2024-50379; степень угрозы оценена по CVSS в 9,8 балла.

Обе классифицируются как состояние гонки вида Time-of-Check Time-of-Use (TOCTOU). Согласно бюллетеню, подобная ошибка может возникнуть при работе в системе, не учитывающей регистр символов в именах файлов, где также включена запись для дефолтного сервлета Tomcat.

Эксплойт позволяет обойти защиту и загрузить на сервер вредоносные файлы с целью захвата контроля над системой.

Доработанный патч включен в состав сборок Tomcat 9.0.98, 10.1.34 и 11.0.2. Помимо установки апдейта пользователям придется внести изменения в настройки в соответствии с используемой версией Java:

  • Java 8 или 11 — выставить значение «false» для системного свойства sun.io.useCanonCaches (по умолчанию «true»);
  • Java 17 — вернуть sun.io.useCanonCaches в дефолтное значение «false» (если оно менялось);
  • Java 21 и выше — все оставить как есть (изменения не потребуются).
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru