+- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl)
+-- Dział: Inne (/inne-11-f)
+--- Dział: Microsoft (/microsoft-12-f)
+---- Dział: Biuletyny zabezpieczeń Microsoft (/biuletyny-zabezpieczen-microsoft-30-f)
+---- Wątek: Microsoft Security Bulletin 11/2013 (/microsoft-security-bulletin-11-2013-37343-t)
Microsoft Security Bulletin 11/2013 - Portator - 13.11.2013 15:57
Firma Microsoft opublikowała październikowy biuletyny bezpieczeństwa, w którym informuje o usunięciu wielu błędów w swoich produktach. Trzy aktualizacje posiadają status „krytyczny”, a pięć zostało sklasyfikowanych jako „ważne”.
Biuletyny uznane, jako „krytyczne”:
MS13-088 - zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer. Poprawka usuwa luki, mogące pozwolić na zdalne wykonanie kodu w przypadku, gdy użytkownik otworzy specjalnie spreparowaną stronę sieci Web. Brak aktualizacji może doprowadzić do przejęcia uprawnień aktualnie zalogowanego użytkownika przez osobę atakującą.
MS13-089 - poprawka usuwa błąd mogący pozwolić na zdalne wykonanie kodu w przypadku gdy użytkownik wyświetli specjalnie spreparowany dokument Windows Write w programie WordPad. Brak aktualizacji może doprowadzić do przejęcia uprawnień aktualnie zalogowanego użytkownika przez osobę atakującą.
MS13-090 - zbiorcza aktualizacja zabezpieczeń dla komponentu ActiveX. Poprawka chroni przed zdalnym wykonaniem kodu w przypadku, gdy użytkownik odwiedzi przy pomocy przeglądarki internetowej Internet Explorer specjalnie spreparowaną stronę zawierającą kontrolkę ActiveX Control.
Biuletyny uznane jako „ważne”:
MS13-091 - aktualizacja zabezpieczeń dla pakietu Microsoft Office. Poprawka chroni użytkownika przed zdalnym wykonaniem kodu, w przypadku otwarcia specjalnie spreparowanego dokumentu WordPerfect w oprogramowaniu Microsoft Office. Brak aktualizacji może doprowadzić do przejęcia uprawnień aktualnie zalogowanego użytkownika przez osobę atakującą.
MS13-092 - poprawka dotyczy oprogramowania Hyper-V i usuwa możliwość podniesienia uprawnień lub przeprowadzenia ataku typu DoS, w przypadku przekazania specjalnie spreparowanego parametru do jednej z funkcji.
MS13-093 - aktualizacja poprawia błąd w MS Windows, który może spowodować ujawnienie informacji, w przypadku gdy atakujący zaloguje się do systemu jako użytkownik lokalny i wykona specjalnie spreparowaną aplikację, która umożliwi mu uzyskanie informacji z wyżej uprawnionego konta.
MS13-094 - poprawka łata możliwość ujawnienia informacji systemowych (takich jak np. adres IP) w przypadku, gdy użytkownik otworzy lub obejrzy z wykorzystaniem MS Outlook specjalnie spreparowaną wiadomość e-mail.
MS13-095 - aktualizacja naprawia błąd, który może umożliwić atak typu DoS, w przypadku gdy serwis sieci Web przetworzy specjalnie spreparowany certyfikat X.509.
CERT.GOV.PL zaleca użytkownikom i administratorom zastosowanie wszelkich niezbędnych aktualizacji w celu minimalizacji zagrożeń.
Źródło:
http://technet.microsoft.com/en-us/security/bulletin/ms13-nov
Biuletyny uznane, jako „krytyczne”:
MS13-088 - zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer. Poprawka usuwa luki, mogące pozwolić na zdalne wykonanie kodu w przypadku, gdy użytkownik otworzy specjalnie spreparowaną stronę sieci Web. Brak aktualizacji może doprowadzić do przejęcia uprawnień aktualnie zalogowanego użytkownika przez osobę atakującą.
MS13-089 - poprawka usuwa błąd mogący pozwolić na zdalne wykonanie kodu w przypadku gdy użytkownik wyświetli specjalnie spreparowany dokument Windows Write w programie WordPad. Brak aktualizacji może doprowadzić do przejęcia uprawnień aktualnie zalogowanego użytkownika przez osobę atakującą.
MS13-090 - zbiorcza aktualizacja zabezpieczeń dla komponentu ActiveX. Poprawka chroni przed zdalnym wykonaniem kodu w przypadku, gdy użytkownik odwiedzi przy pomocy przeglądarki internetowej Internet Explorer specjalnie spreparowaną stronę zawierającą kontrolkę ActiveX Control.
Biuletyny uznane jako „ważne”:
MS13-091 - aktualizacja zabezpieczeń dla pakietu Microsoft Office. Poprawka chroni użytkownika przed zdalnym wykonaniem kodu, w przypadku otwarcia specjalnie spreparowanego dokumentu WordPerfect w oprogramowaniu Microsoft Office. Brak aktualizacji może doprowadzić do przejęcia uprawnień aktualnie zalogowanego użytkownika przez osobę atakującą.
MS13-092 - poprawka dotyczy oprogramowania Hyper-V i usuwa możliwość podniesienia uprawnień lub przeprowadzenia ataku typu DoS, w przypadku przekazania specjalnie spreparowanego parametru do jednej z funkcji.
MS13-093 - aktualizacja poprawia błąd w MS Windows, który może spowodować ujawnienie informacji, w przypadku gdy atakujący zaloguje się do systemu jako użytkownik lokalny i wykona specjalnie spreparowaną aplikację, która umożliwi mu uzyskanie informacji z wyżej uprawnionego konta.
MS13-094 - poprawka łata możliwość ujawnienia informacji systemowych (takich jak np. adres IP) w przypadku, gdy użytkownik otworzy lub obejrzy z wykorzystaniem MS Outlook specjalnie spreparowaną wiadomość e-mail.
MS13-095 - aktualizacja naprawia błąd, który może umożliwić atak typu DoS, w przypadku gdy serwis sieci Web przetworzy specjalnie spreparowany certyfikat X.509.
CERT.GOV.PL zaleca użytkownikom i administratorom zastosowanie wszelkich niezbędnych aktualizacji w celu minimalizacji zagrożeń.
Źródło:
http://technet.microsoft.com/en-us/security/bulletin/ms13-nov