Microsoft Security Bulletin 02/2013

Firma Microsoft opublikowała nowy biuletyn bezpieczeństwa informujący o usunięciu wielu poważnych błędów w swoich produktach. Pięć aktualizacji posiada status „krytyczny”, a siedem sklasyfikowanych zostało jako „ważne”.

Podatności uznane jako „krytyczne”:

MS13-009 - Zbiorcza aktualizacja dla programu Internet Explorer usuwająca trzynaście luk występujących w zabezpieczeniach przeglądarki. Najpoważniejsza z nich może pozwolić na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu przeglądarki Internet Explorer. Osoba atakująca może uzyskać takie same uprawnienia jak aktualnie zalogowany użytkownik.

MS13-010 - Luka występująca w zabezpieczeniach Vector Markup Language pozwala na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu przeglądarki Internet Explorer.

MS13-011 - Luka występująca w dekoderach plików multimedialnych może pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik multimedialny lub dokument pakietu Microsoft Office, który zawiera osadzony specjalnie spreparowany plik. Osoba atakująca może uzyskać takie same uprawnienia jak aktualnie zalogowany użytkownik.

MS13-012 - Luki występujące w zabezpieczeniach Microsoft Exchange Server umożliwiają zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik za pomocą programu Outlook Web App (OWA).

MS13-020 - Luki występujące w zabezpieczeniach OLE Automation umożliwiają zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik. Osoba atakująca może uzyskać takie same uprawnienia jak aktualnie zalogowany użytkownik.

Podatności uznane jako „ważne”:

MS13-013 - Luki występujące w zabezpieczeniach FAST Search Server 2010 for SharePoint mogą umożliwić zdalne wykonanie kodu. MS13-014 - Luka występująca w NFS Server umożliwia odmowę usługi (Denial of Service). Osoba atakująca, która wykorzysta tę podatność może spowodować, iż zaatakowany system przestanie odpowiadać. Luka ta dotyczy Windows Server 2008 oraz Windows Server 2012.

MS13-014 - Luka występująca w NFS Server umożliwia odmowę usługi (Denial of Service). Osoba atakująca która wykożysta tę podatność może spowodować iż zaatakowany system przestanie odpowiadać. Luka dotyczy Windows Server 2008 oraz Windows Server 2012.

MS13-015 - Luka występująca w .NET Framework umożliwia podniesienie uprawnień, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu przeglądarki internetowej, która umożliwia uruchamianie aplikacji przeglądarki XAML (XBAP). Osoba atakująca może uzyskad takie same uprawnienia jak aktualnie zalogowany użytkownik.

MS13-016 - Luki występująca w sterownikach Kernel-Mode mogą pozwolić na podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację. Osoba atakująca, aby wykorzystać luki musi dysponować prawidłowymi poświadczeniami logowania oraz być w stanie zalogować się lokalnie.

MS13-017 - Luki występujące w zabezpieczeniach jądra systemu Windows. Luki te mogą umożliwić podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację. Aby wykorzystać luki osoba atakująca musi dysponować prawidłowymi poświadczeniami logowania oraz być w stanie zalogować się lokalnie.

MS13-018 - Luka występująca w zabezpieczeniach protokołu TCP/IP może spowodować odmowę usługi (Denial of Service). Podatność umożliwia odmowę usługi, jeżeli nieuwierzytelniona osoba atakująca wyśle specjalnie spreparowany pakiet zakończenia połączenia z serwerem

MS13-019 - Luka występująca, w Windows Client/Server Run-time Subsystem (CSRSS) może pozwolić na podniesienie uprawnień. Luka ta może umożliwić podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację. Osoba atakująca, aby wykorzystać tę podatność musi dysponować prawidłowymi poświadczeniami logowania oraz być w stanie zalogować się lokalnie.

Źródło: http://technet.microsoft.com/en-us/secur...n/ms13-feb