Microsoft выпустили набор обновлений, октябрь 2013

Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (3 октября) секьюрити-фиксы покрывают 27 уникальных уязвимостей.

MS13-080 закрывает известную Remote Code Execution 0day уязвимость CVE-2013-3893, которая использовалась ранее в целенаправленных атаках. Хакеры использовали эксплойт к этой уязвимости для скрытной установки вредоносного кода (drive-by).

Обновление MS13-081 устраняет семь уязвимостей в ядре ОС и компонентах пользовательского режима, которые ответственны за обработку файлов шрифтов. Атакующий может исполнить произвольный код в системе через специальным образом сформированный файл шрифтов (OpenType Font, TrueType Font). Уязвимы все существующие ОС, начиная с Windows XP и заканчивая 8.1.

Обновление MS13-082 исправляет три уязвимости во всех версиях .NET Framework для всех поддерживаемых ОС. Хакер может исполнить произвольный код в системе через специальным образом сформированный файл шрифтов OpenType, отображаемый в браузере (Remote Code Execution). Для некоторых версий .NET Framework уязвимости могут использоваться для организации Denial of Service атаки. CVE-2013-3128 (RCE), CVE-2013-3860 (DoS), CVE-2013-3861 (DoS).

Обновление MS13-083 исправляет одну RCE уязвимость CVE-2013-3195 в библиотеке comctl32 для всех ОС, кроме 32-битной Windows XP SP3 и 8.1, RT 8.1. Атакующий может исполнить произвольный код в системе через специальным образом сформированный запрос к ASP .NET веб-приложению.

Среди 4х «важных» бюллетеней октябрьского пакета обновлений, три — позволяют удаленно выполнить произвольный программный код через компоненты Microsoft Office: Excel (CVE-2013-3889 и CVE-2013-3890) и Word (CVE-2013-3891 и CVE-2013-3892); а также компоненты SharePoint Server 2007 (CVE-2013-3895).