Microsoft
Уже ставший традиционным «вторник обновлений» Microsoft на этот раз принес только четыре бюллетеня безопасности – самое скромное обновление за все время существования программы ежемесячных обновлений. Два из четырех исправлений получили статус критических.
MS17-001 (Important): патч для уязвимости CVE-2017-0002 в Microsoft Edge. Данный баг позволяет повысить привилегии, если пользователь просматривает специально созданную страницу через браузер Edge. Обновление представлено для Windows 10 и Server 2016.
MS17-002 (Critical): исправляет уязвимость CVE-2017-0003 в Microsoft Office. Проблема допускает удаленное выполнение произвольного кода с правами текущего пользователя, после того как пользователь открывает вредоносный документ Microsoft Office. Багу подвержены Office 2016 и SharePoint Enterprise Server 2016.
MS17-003 (Critical): в этот бюллетень вошли январские исправления уязвимостей в Flash Player, подготовленные Adobe.
MS17-004 (Important): устраняет DoS-уязвимость CVE-2017-0004 в Local Security Authority Subsystem Service (LSASS). Проблема связана с аутентификационными запросами. Атакующий может спровоцировать отказ в обслуживании через LSASS, что приведет к перезагрузке системы.
Adobe
Одновременно с Microsoft обновления для своих продуктов представили и специалисты компании Adobe. Суммарно в Acrobat, Reader и Flash Player было устранено 42 уязвимости, включая ряд серьезных RCE-проблем.
APSB17-01: бюллетень устраняет 29 различных уязвимостей в Adobe Acrobat и Reader для Windows и macOS. Среди исправленных уязвимостей числятся type confusion, use-after-free, переполнение буфера хипа и нарушение целостности информации в памяти, ведущие к исполнению произвольного кода. Проблемы были обнаружены специалистами компаний Clarified Security, Tencent, Source Incite, Fortinet, Cure53, а также исследователями из Наньянского технологического университета.
APSB17-02: данный бюллетень всецело посвящен многострадальному Flash Player и устраняет 13 уязвимостей в Adobe Flash Player для Windows, macOS, Linux и Chrome OS. Бюллетень получил статус критического, среди обнаруженных проблем были переполнение буфера хипа, use-after-free уязвимости и нарушение целостности информации в памяти. Все перечисленные баги в теории можно использовать для выполнения кода. Также была найдена и исправлена проблема security bypass, допускавшая утечку данных. Проблемы были обнаружены независимыми исследователями, а также специалистами Microsoft, Google, Tencent, COSIG и Fortinet.
Кроме того, в этом месяце обновления Adobe преподнесли пользователям не слишком приятный сюрприз. Вместе с обновлением Acrobat Reader на машины пользователей, без предупреждения установилось расширение Adobe Acrobat для браузера Chrome. Весь процесс его установки был скрыт, зато при следующем запуске Chrome пользователя поджидало известие о добавлении нового расширения.
Расширение ничем не отличается от версии, представленной в официальном каталоге Chrome Web Store. Оно запрашивает разрешения на чтение и изменение данных на посещаемых сайтах, доступ к управлению загрузками, а также хочет иметь возможность общаться с нативными приложениями. Более того, по умолчанию у расширения Adobe Acrobat включен анонимный сбор данных об использовании. Собранная информация затем будет применяться для «улучшения продукции Adobe».
К счастью, пользователям все-таки оставили хоть какой-то выбор, и использовать проприетарное расширение Adobe их никто не заставляет, его можно не только отключить, но и вообще удалить окончательно.
Фото: Depositphotos
