В рамках планового “вторника исправлений” компания Microsoft представила 14 бюллетеней безопасности, устраняющих в общей сложности 68 уязвимостей в Windows, Office, Edge, Internet Explorer и SQL Server, в том числе 2 уязвимости нулевого дня в Windows. Шесть бюллетеней получили статус критических, остальные восемь классифицированы как важные.
Бюллетень MS16-135 устраняет многочисленные уязвимости в Windows, наиболее опасные из которых позволяют атакующему повысить привилегии при помощи специально сформированного приложения и получить контроль над системой. В числе прочих Microsoft устранила уязвимость CVE-2016-7255, активно эксплуатируемую хакерской группировкой, известной как Fancy Bear, APT 28 или Strontium. Информация о данной проблеме была обнародована Google спустя всего 10 дней после того, как о ней стало известно Microsoft.
Бюллетень MS16-132 устраняет проблемы в Microsoft Windows, позволяющие удаленно выполнить код. В том числе компания исправила 0day-уязвимость CVE-2016-7256 в драйвере формата Windows OpenType Font (OTF). Уязвимость может быть проэксплуатирована путем внедрения на сайты или в документы специально сформированных шрифтов OpenType. Успешная эксплуатация проблемы позволяет атакующему получить полный контроль над целевой системой.
Бюллетени MS16-142, MS16-129 и MS16-133 устраняют критические уязвимости в браузерах Internet Explorer и Edge, а также в Microsoft Office. Наиболее опасные уязвимости позволяют злоумышленнику выполнить произвольный код при просмотре специально сформированной страницы в браузерах Internet Explorer или Microsoft Edge. В случае с Microsoft Office атакующий может выполнить произвольный код в контексте текущего пользователя, если жертва откроет специально сформированный документ Office.
Бюллетень MS16-136 исправляет уязвимости в Microsoft SQL Server, позволяющие атакующему повысить привилегии на системе. (Microsoft/NovostIT)