Во вторник, 13 сентября, состоялся плановый релиз обновлений для продуктов Microsoft. На этот раз компания выпустила 14 бюллетеней безопасности. Семь из них являются критическими, поскольку исправляют уязвимости, позволяющие удаленно выполнить код.
Критический бюллетень MS16-104 устраняет десять уязвимостей в Internet Explorer: пять из них позволяют вызвать повреждение памяти и удаленно выполнить код, три – раскрыть информацию, одна – повысить привилегии и еще одна – обойти механизмы безопасности. Не все уязвимости были раскрыты публично, однако, как сообщает Microsoft, CVE-2016-3351 эксплуатировалась злоумышленниками.
MS16-105 исправляет семь критических уязвимостей в Edge, с помощью которых злоумышленник мог удаленно выполнить код, и еще пять, позволяющих раскрыть информацию. MS16-106 предназначен для Microsoft Graphics Component. Для Windows 10 версии 1607 бюллетень является критическим, а для всех остальных поддерживаемых сборок Windows – важным. Патч исправляет уязвимости в Windows Graphics Device Interface (GDI), позволяющие удаленно выполнить код, повысить привилегии и раскрыть информацию, а также две уязвимости в Win32k, позволяющие повысить привилегии.
MS16-107 исправляет проблемы с безопасностью в Microsoft Office. Одна из исправленных уязвимостей присутствует в Office в течение десяти лет, однако о ней стало известно только девять месяцев назад. Бюллетень MS16-108 предназначен для уязвимостей в Microsoft Exchange Server, а MS16-116 – в механизме OLE Automation и движке VBScript. Традиционно Microsoft также выпустила исправление для уязвимостей в Adobe Flash Player (критический бюллетень MS16-117). (Microsoft/NovostIT)