Хакер #305. Многошаговые SQL-инъекции
Очередной «вторник обновлений» принес 14 бюллетеней безопасности, исправляющих более 50 уязвимостей в продуктах Microsoft, в том числе в Internet Explorer, Edge, Office, Exchange и так далее.
Статус критических, в частности, получили бюллетени, устраняющие проблемы в браузерах компании. Так, бюллетени MS16-104 и MS16-105 адресованы именно браузерам, и шесть из перечисленных здесь уязвимостей распространяются на Internet Explorer и Edge сразу. В том числе и баг CVE-2016-3351, который позволяет атакующему получить доступ к информации, которая может быть использована для последующей компрометации системы. Для эксплуатации данной проблемы, злоумышленнику достаточно просто заманить жертву на скомпрометированный или созданный специально вредоносный сайт.
Другие уязвимости из бюллетеней MS16-104 и MS16-105 также могут привести к раскрытию информации о жертве или к удаленному исполнению на устройстве произвольного кода.
Еще два бюллетеня критической важности: MS16-106 и MS16-116. Они устраняют шесть уязвимостей, допускающих эскалацию привилегий, раскрытие информации и удаленное выполнение кода. В частности, бюллетень MS16-116 исправляет проблему CVE-2016-3375, приводящую к нарушению целостности информации в памяти. Баг возникает из-за того, как механизм Microsoft OLE и VBScript в IE работают с объектами в памяти. Эксплуатация уязвимости опять же подразумевает, что атакующий просто должен заманить жертву на вредоносный сайт.
Критический бюллетень MS16-107 адресован проблеме обхода ASLR в Microsoft Office, спуфингу в Outlook и ряду RCE-уязвимостей. Проблему обхода ASLR (CVE-2016-0137) обнаружили специалисты компании enSilo, почти десять месяцев тому назад. По данным, опубликованным (PDF) самим исследователями, уязвимость, который дали имя Captain Hook, касается библиотеки Detours, которую используют для работы более ста различных производителей. Эксперты enSilo пишут, что хотя патч из бюллетеня MS16-107 якобы устраняет уязвимость лишь в Office, на самом деле разработчики Microsoft все это время работали над исправлением проблемы в Detours. Сами специалисты enSilo даже создали опенсорсную утилиту FindADetour, которая поможет выявить уязвимость, и призвали производителей воспользоваться этим сканером.
Критический бюллетень MS16-108 устраняет баги в Microsoft Exchange Server, которые приводят у утечке информации, эскалации привилегий, а также спуфингу через ссылки в email-сообщениях. Также в бюллетень входят патчи от разработчиков Oracle, исправляющие уязвимости библиотеке в Oracle Outside In.
Критический бюллетень MS16-117 включает в себя обновления для Adobe Flash Player для Windows и Windows Server. Исправления представлены для 26 различных багов. В состав этого бюллетеня вошли патчи, представленные самой компанией Adobe, которая 13 сентября 2016 года тоже представила пакет исправлений для своей продукции.
Говоря о Flash Player, нельзя не отметить и тот факт, что 13 сентября 2016 года Microsoft анонсировала, что начиная с 11 октября 2016 года компания прекратит поддержку старых версий Flash Player, которые теперь будут блокироваться в Internet Explorer на Windows 7 и Windows Server 2008 R2. Речь идет о Adobe Flash Player ниже версии 21.0.0.198, а также Adobe Flash Player Extended Support Release ниже версии 18.0.0.241.