Majowe biuletyny Microsoftu: dziurawy DirectX, IE, Edge, Office, a do tego odszyfrowanie SSL

Siedem biuletynów zaklasyfikowano jako „krytyczne”. Oto one:

MS16-051jest związany z błędami w silniku skryptowym Internet Explorera.Błąd w obsłudze obiektów w pamięci pozwala na zdalneuruchomienie kodu z uprawnieniami zalogowanego użytkownika. Poprzezwykorzystanie kontrolek ActiveX do ataku na tę podatność możnateż wykorzystać dokumenty otwierane w pakiecie Microsoft Office.

MS16-052wygląda na tę samą podatność dla przeglądarki Microsoft Edge.Tak, Edge to zupełnie nowa przeglądarka Microsoftu. Tak nowa, żeniemal od samego swojego debiutu cierpi na te same luki, co InternetExplorer 11.

MS16-053to zbiorcza poprawka dla silników JScriptu i VBScriptu dla systemówVista, Windows Server 2008 i instalacji Server Core. Wygląda na to,że dotyczy tego samego problemu, co wyżej wspomniany.

MS16-054dotyczy biblioteki fontów Windows. Odpowiednio spreparowane czcionkiw dokumentach Microsoft Office (nie muszą to być pliki OOXML, możeto być np. RTF), czy też osadzone na stronach internetowych,pozwalają na zdalne uruchomienie kodu. Ponownie problem związanyjest z niewłaściwą obsługą obiektów w pamięci.

MS16-055to zbiorcza poprawka dla komponentów Windows GDI w DirectX (błąduse-after-free) oraz Windows Imaging (memory corruption). One teżpozwalają na zdalne uruchomienie kodu poprzez spreparowany dokumentlub odwiedzenie złośliwej witryny.

MS16-056dotyczy wszystkich trzech użytkowników aplikacji Windows Journal.Ponownie okazało się, że można dokumenty tego programu takspreparować, by pozwalały na uruchomienie złośliwego kodu.

Finalnie na liście biuletynów krytycznych mamy MS16-057,związany z powłoką Windowsa (Windows Shell). Zagrożone sąsystemy w wersjach od 8.1 do 10 – błąd w obsłudze obiektów wpamięci pozwala na zdalne uruchomienie złośliwego kodu, takżeprzez przeglądarkę internetową czy komunikator.

Pozostałe poprawki oznaczono jako „ważne”. MS16-058przynosi łatkę dla webserwera IIS. Niewłaściwa walidacja danychna wejściu w bibliotece DLL pozwala na zdalne uruchomienie kodu wsystemach Vista i Windows Server 2008. MS16-059to z kolei dziura w odtwarzaczu mediów Windows Media Center –tutaj niewłaściwa obsługa niektórych zasobów umożliwiła zdalneuruchomienie kodu poprzez plik z rozszerzeniem .mcl. MS16-060jest znacznie ciekawsze, i aż dziw, że zostało zaklasyfikowanejako tylko „ważne” – błąd w przetwarzaniu niektórych linkówsymbolicznych pozwala na uzyskanie uprawnień administratora systemu,działa to w systemach od Visty po najnowszą „dziesiątkę”.Analogiczny błąd pozwalający na „dostanie admina” znaleziono wkomponencie odpowiedzialnym za obsługę żądań RPC (RemoteProcedure Call) – załatany został biuletynem MS16-061.

MS16-062to zbiorczy zestaw łatek do sterowników Windowsa, w większościchodzi tu o 32-bitowe wersje systemu. Łatka ta rozwiązuje teżproblemy z DirectX Graphics Kernel. MS16-064to zaś zbiorczy zestaw poprawek dla zintegrowanej wtyczki Flash odAdobe. W MS16-065załatano błąd w szyfrowanej komunikacji po TLS/SSL, którypozwalał napastnikom na odszyfrowanie ruchu między aplikacjaminapisanymi z użyciem .NET Frameworka. MS16-066to łatka chroniąca przed możliwością obejścia zabezpieczeńtrybu Virtual Secure Mode – wygląda na to, że maszyny wirtualnemogły sobie pozwolić na nieuprawniony zapis do pamięci, nawet przywłączonej usłudze HVCI (Hypervisor Code Integrity). Ostatnimbiuletynem w tym miesiącu jest MS16-067,który rozwiązuje problem z wyciekiem danych, możliwym gdy dysk USBzostanie zamontowany zdalnie po RDP przez Microsoft RemoteFX.

Można się spodziewać, że twórcy malware już intensywniepracują nad odwrotną inżynierią opublikowanych łatek i gotoweexploity będą gotowe lada moment. Użytkownikom Windowsówpozostaje więc tylko włączyć Windows Update i czekać, ażaktualizacja systemu zostanie zakończona.