Biuletyn bezpieczeństwa Microsoft 02/2014

Firma Microsoft opublikowała lutowy biuletyny bezpieczeństwa, w którym informuje o siedmiu aktualizacjach. Cztery aktualizacje zostały sklasyfikowane jako „krytyczne”, a trzy aktualizacje zostały sklasyfikowane jako „ważne”.

Biuletyny uznane jako „krytyczne”:

MS14-010 - dotyczy luk w przeglądarce internetowej Internet Explorer. Poprawki usuwają dwadzieścia trzy błędy, mogące pozwolić m.in. na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowaną stronę z wykorzystaniem przeglądarki Internet Explorer lub na uzyskanie przez atakującego takich samych uprawnień systemowych jak aktualnie zalogowany użytkownik.

MS14-011 - dotyczy luki w silniku skryptowym VBScript. Aktualizacja usuwa możliwość zdalnego wykonania kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowaną stronę. Atakujący nie ma możliwości wymuszenia odwiedzenia przedmiotowej strony, lecz musi skłonić użytkowników np. do kliknięcia na odnośnik celem odwiedzenia złośliwej witryny.

MS14-007 - dotyczy luki w Direct2D. Poprawka usuwa możliwość zdalnego wykonania kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowaną stronę z wykorzystaniem przeglądarki Internet Explorer. Atakujący nie ma możliwości wymuszenia odwiedzenia przedmiotowej strony, lecz musi skłonić użytkowników np. do kliknięcia na odnośnik lub otworzenia załącznika wysłanego pocztą elektroniczną celem odwiedzenia złośliwej witryny.

MS14-008 - dotyczy luki w Microsoft Forefront Protection dla Exchange. Aktualizacja usuwa błąd pozwalający na zdalne wykonanie kodu, w przypadku, gdy specjalnie spreparowaną wiadomość e-mail zostaje przeskanowana.

Biuletyny uznane jako „ważne”:

MS14-009 - dotyczy luk w .NET Framework. Poprawki usuwają dwa błędy, które mogą umożliwić podniesienie uprawnień użytkownika, w przypadku, gdy odwiedzi on specjalnie spreparowaną stronę lub stronę zawierającą specjalnie spreparowaną zawartość. Atakujący nie ma możliwości wymuszenia odwiedzenia przedmiotowej strony, lecz musi skłonić użytkowników np. do kliknięcia na odnośnik celem odwiedzenia złośliwej witryny.

MS14-005 - dotyczy luki w Microsoft XML Core Services. Aktualizacja eliminuje możliwość ujawnienia informacji, jeżeli użytkownik odwiedzi specjalnie spreparowaną stronę z wykorzystaniem przeglądarki Internet Explorer. Atakujący nie ma możliwości wymuszenia odwiedzenia przedmiotowej strony, lecz musi skłonić użytkowników np. do kliknięcia na odnośnik lub otworzenia załącznika wysłanego pocztą elektroniczną celem odwiedzenia złośliwej witryny.

MS14-006 - dotyczy luki w protokole IPv6. Poprawka usuwa możliwość wykonania ataku typu denial of service, w przypadku, gdy atakujący wyśle dużą ilość specjalnie spreparowanych pakietów IPv6 do podatnego systemu. Aby wykorzystać tą podatność, komputer atakującego musi należeć do tej samej podsieci co ofiara ataku.

CERT.GOV.PL zaleca użytkownikom i administratorom zastosowanie wszelkich niezbędnych aktualizacji w celu minimalizacji zagrożeń.