Microsoft

Компания Microsoft выпустила 14 бюллетеней безопасности. Шесть исправленных уязвимостей были отмечены как критические, так как позволяют выполнение произвольного кода на атакуемой машине.

Хотя бюллетень MS16-135 не получил статус критического, его стоит отметить отдельно, ведь он устранил 0-day уязвимость CVE-2016-7255, данные о которой в начале ноября раскрыли специалисты Google. Бюллетень содержит исправления для двух проблем, позволяющих раскрыть информацию об уязвимой системе, а также трех багов, которые допускают повышение привилегий. Напомню, что ранее представители Microsoft подтвердили, что проблему эксплуатируют не простые злоумышленники, а «правительственные хакеры» из группы Fancy Bear (также известной под именами APT28, Sofacy, Sednit, Pawn Storm или Strontium).

Однако, это не единственный 0-day, устраненный в этом месяце. Критические бюллетень MS16-132 адресован нескольким проблемам, сопряженным с работой Windows Media Foundation, Windows Animation Manager и шрифтов OpenType. Среди багов присутствует RCE-узявимость CVE-2016-7256, связанная с тем, как библиотека шрифтов Windows обрабатывает созданные специальным образом шрифты. Microsoft пишет, что и эту брешь тоже используют хакеры, однако никаких подробностей об атаках пока не приводит.

Стоит также отметить и кумулятивное обновление для Edge (критический бюллетень MS16-129), в котором исправлено 17 багов, 12 из которых могут привести к удаленному исполнению кода.

Прочие бюллетени с пометкой «критический» устранили различные проблемы в Windows, в том числе, связанные с работой Video Control, Input Method Editor (IME) и Task Scheduler.

Бюллетени, получившие статус «важных», исправили бреши в Windows Virtual Hard Disk Driver, SQL Server, Windows authentication methods, ядре Windows, Secure Boot, драйвере Windows Common Log File System (CLFS) и пакете Office.

Adobe

Компания Adobe устранила девять различных CVE в Adobe Flash Player и один баг в Adobe Connect.

В новом Flash Player 23.0.0.207 для Windows, Mac и браузеров, а также в новом Flash Player 11.2.202.644 для Linux были исправлены проблемы type confusion и use-after-free, проходящие под идентификаторами CVE-2016-7857, CVE-2016-7858, CVE-2016-7859, CVE-2016-7860, CVE-2016-7861, CVE-2016-7862, CVE-2016-7863, CVE-2016-7864 и CVE-2016-7865. Все проблемы были найдены разными специалистами и дошли до сведения Adobe через Trend Micro Zero Day Initiative.

Патч для Connect устранил уязвимость input validation в модуле регистрации событий (CVE-2016-7851). Брешь, которая может использоваться для XSS-атак, заметили эксперты Vulnerability Lab. Проблема актуальна для Windows-версии Connect 9.5.6 и ниже.

Напомню, что 0-day CVE-2016-7855, которая уже взята на вооружение хакерами, разработчики Adobe устранили еще 26 октября 2016 года, до того, как исследователи Google заявили о проблеме открыто.

Google

Ноябрьское обновление Google получилось объемным: исправлено 83 уязвимости в Android, 23 из которых получили статус критических, 37 были оценены как высоко опасные и еще 22 несут среднюю степень риска. Среди всех вышедших патчей отдельно стоит отметить исправления для двух свежих и опасных проблем: Drammer и Dirty COW.

Напомню, что Drammer – это вариация атаки Rowhammer. Суть в том, что воздействие на ячейки памяти может привести к тому, что электромагнитное излучение повлияет на соседние ячейки, и значения битов в них изменятся (произойдет так называемый bit-flipping). В конце октября 2016 года исследователи доказали, что Rowhammer представляет опасность и для Android-устройств.

А вот проблема Dirty COW (0-day уязвимость CVE-2016-5195, недавно обнаруженная в ядре Linux и существовавшая там почти десять лет) пока фактически не исправлена, патч для нее ожидается в декабре. Дело в том, что разработчики Google вновь разделили обновление на несколько уровней (security patch level). Как и в сентябре текущего года, ноябрьский пакет обновлений поделен на три части. С проблемой Dirty COW и состоянием гонки, которую провоцирует уязвимость, связан только последний, третий уровень 2016-11-06.  Данный уровень «указывает на то, что устройство получило все исправления для уровня 2016-11-05, а также для CVE-2016-5195, детали о которой были публично раскрыты 19 октября 2016 года». Это означает, что пока специалисты Google представили только базовую заплатку для Dirty COW, а фактическое и полноценное исправление компания обещает выпустить только в декабре 2016 года.

Из других критических патчей можно выделить очередное исправление для компонента mediaserver. Устраненный баг снова очень похож на многострадальную проблему Stagefright, он позволяет спровоцировать нарушение целостности информации в памяти через специально созданный медиафайл.

Фото: Depositphotos

Оставить мнение

Check Also

Эксперт F-Secure скомпрометировал NAS компании QNAP Systems, обнаружив ряд уязвимостей

Исследователь F-Secure обнаружил проблемы в сетевом хранилище QNAP Systems и создал proof-…