12.12.2014, 06:26
Firma Microsoft opublikowała grudniowe biuletyny bezpieczeństwa, w których informuje o siedmiu aktualizacjach. Trzy aktualizacje zostały sklasyfikowane, jako „krytyczne”, a cztery aktualizacje zostały sklasyfikowane, jako „ważne”.
Biuletyny uznane, jako „krytyczne”:
MS14-080 - dotyczy luk w przeglądarce internetowej Internet Explorer. Poprawki usuwają czternaście błędów, mogących pozwolić m.in. na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowaną stronę z wykorzystaniem przeglądarki Internet Explorer. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
MS14-081 - dotyczy luk w Microsoft Word oraz Microsoft Office Web Apps. Poprawki usuwają dwa błędy, mogące pozwolić m.in. na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowany plik programu Microsoft Word. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
MS14-084 - dotyczy luki w zabezpieczeniach silnika VBScript. Poprawka usuwają lukę mogącą pozwolić na zdalne wykonanie kodu, w przypadku, gdy użytkownik odwiedzi specjalnie spreparowaną stronę. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
Biuletyny uznane, jako „ważne”:
MS14-075 - dotyczy luk w Microsoft Exchange Server. Poprawki usuwają cztery błędy, mogące pozwolić m.in. podniesienie uprawnień, w przypadku, gdy użytkownik za pomocą specjalnie spreparowanego adresu URL przejdzie do witryny programu Outlook Web App.
MS14-082 - dotyczy luki w pakiecie Microsoft Office. Poprawka usuwa błąd, mogący pozwolić na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowany plik programu Microsoft Office. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
MS14-083 - dotyczy luk w Microsoft Excel. Poprawki usuwają dwa błędy, mogących pozwolić m.in. na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowany plik programu Microsoft Excel. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
MS14-085- dotyczy luki w Microsoft Graphics Component. Poprawki usuwają lukę, mogącą pozwolić na ujawnienie informacji, w przypadku, gdy użytkownik wyświetli specjalnie spreparowany plik JPEG zamieszczony na witrynie Internetowej.
CERT.GOV.PL zaleca użytkownikom i administratorom zastosowanie wszelkich niezbędnych aktualizacji w celu minimalizacji zagrożeń.
Źródło: https://technet.microsoft.com/library/security/ms14-dec
Biuletyny uznane, jako „krytyczne”:
MS14-080 - dotyczy luk w przeglądarce internetowej Internet Explorer. Poprawki usuwają czternaście błędów, mogących pozwolić m.in. na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowaną stronę z wykorzystaniem przeglądarki Internet Explorer. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
MS14-081 - dotyczy luk w Microsoft Word oraz Microsoft Office Web Apps. Poprawki usuwają dwa błędy, mogące pozwolić m.in. na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowany plik programu Microsoft Word. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
MS14-084 - dotyczy luki w zabezpieczeniach silnika VBScript. Poprawka usuwają lukę mogącą pozwolić na zdalne wykonanie kodu, w przypadku, gdy użytkownik odwiedzi specjalnie spreparowaną stronę. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
Biuletyny uznane, jako „ważne”:
MS14-075 - dotyczy luk w Microsoft Exchange Server. Poprawki usuwają cztery błędy, mogące pozwolić m.in. podniesienie uprawnień, w przypadku, gdy użytkownik za pomocą specjalnie spreparowanego adresu URL przejdzie do witryny programu Outlook Web App.
MS14-082 - dotyczy luki w pakiecie Microsoft Office. Poprawka usuwa błąd, mogący pozwolić na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowany plik programu Microsoft Office. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
MS14-083 - dotyczy luk w Microsoft Excel. Poprawki usuwają dwa błędy, mogących pozwolić m.in. na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowany plik programu Microsoft Excel. Atakujący, który wykorzysta te podatności może uzyskać takie same uprawnienia systemowe jak aktualnie zalogowany użytkownik.
MS14-085- dotyczy luki w Microsoft Graphics Component. Poprawki usuwają lukę, mogącą pozwolić na ujawnienie informacji, w przypadku, gdy użytkownik wyświetli specjalnie spreparowany plik JPEG zamieszczony na witrynie Internetowej.
CERT.GOV.PL zaleca użytkownikom i administratorom zastosowanie wszelkich niezbędnych aktualizacji w celu minimalizacji zagrożeń.
Źródło: https://technet.microsoft.com/library/security/ms14-dec