Microsoft устраняет «бреши» в Windows

Компания Microsoft представила первое в этом году обновление безопасности для своих продуктов — ОС Windows и Microsoft Anti-Cross Site Scripting (AntiXSS). В выпущенном обновлении содержится 7 бюллетеней безопасности, которые направлены на ликвидацию 8 уязвимостей.

Одно из обновлений, имеет статус критического – это обновление MS12-004, которое закрывает сразу две “дыры” в Windows Multimedia Library (уязвимость CVE-2012-0003) и предотвращает удаленное выполнение произвольного кода из-за ошибок в обработке медиа-файлов системным компонентом DirectShow (уязвимость CVE-2012-0004). По заявлениям специалистов, этим уязвимостям подвержены все операционные системы Windows. Наиболее опасны эти уязвимости для пользователей ОС Windows XP, Vista и Server 2003/2008; наименее — ОС Windows 7 и Server 2008 R2.

Остальные шесть бюллетеней имеют статус важных.

Бюллетень безопасности MS12-007 закрывает уязвимость CVE-2012-0007 в библиотеке Microsoft Anti-Cross Site Scripting (AntiXSS) Library, которая может привести к несанкционированному раскрытию данных. Через эту уязвимость злоумышленники могут произвести XSS-атаку, направленную на раскрытие информации пользователя.

Бюллетень MS12-006 устраняет уязвимость CVE-2011-3389 в в протоколе SSL/TLS, которая может привести к несанкционированному раскрытию передаваемых по HTTP-протоколу с использованием механизмов шифрования SSL 3.0 и TLS 1.0 пользовательских данных.

MS12-005 устраняет уязвимость CVE-2012-0013 в механизме обработки документов Microsoft Office Windows Packager, которая может привести к удаленному выполнению кода с использованием ClickOnce-приложения, внедренного в файлы Microsoft Office.

MS12-003 закрывает уязвимость CVE-2012-0005 в подсистеме исполнения Client/Server Run-time Subsystem (CSRSS), которая делает возможным несанкционированное повышение пользовательских привилегий.

MS12-001 устраняет уязвимость CVE-2012-0001 в ядре Windows, которая позволяла злоумышленникам обходить функции безопасности SafeSEH (Ntdll.dll), обеспечивающего защиту памяти приложений.

И, наконец, бюллетень безопасности MS12-002 закрывает уязвимость CVE-2012-0009 в упаковщике объектов ОС Windows XP и Server 2003, которая может привести к удаленному выполнению кода.

Обновления доступны на веб-сайте компании Microsoft и через систему автоматического обновления.