Microsoft выпустили набор обновлений, март 2014
Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 23 уникальных уязвимости (2 исправления со статусом Critical и 3 со статусом Important). Как обычно, одно из обновлений (MS14–012) нацелено на исправление восемнадцати Remote Code Execution (RCE) уязвимостей во всех версиях браузера Internet Explorer 6–11 на Windows XP SP3/ XP x64 SP2 до Windows 8.1/RT 8.1. Злоумышленники могут использовать специальным образом подготовленную веб-страницу для удаленного исполнения кода через браузер (drive-by). Обновление также закрывает IE10 use-after-free уязвимость CVE-2014–0322 (SA 2934088), которая ранее использовалась в направленных атаках. Для применения обновления нужна перезагрузка.
Другое критическое обновление MS14–013 устраняет double-free-уязвимость CVE-2014–0301 (RCE) в компоненте DirectShow (qedit.dll) для всех ОС начиная с Windows XP и заканчивая 8.1. Атакующие могут использовать специальным образом сформированный файл изображения (JPEG) для исполнения произвольного кода в системе. Читать дальше →
