Microsoft и Adobe выпустили обновления для своих продуктов, сентябрь 2013
Microsoft анонсировали выпуск серии обновлений, нацеленных на устранение уязвимостей в своих продуктах. Заявленные ранее в пре-релизе (5 сентября) секьюрити-фиксы покрывают более 50 уникальных уязвимостей (4 исправления со статусом Critical и 10 со статусом Important). Детальный отчет (включая сопоставления исправлений с CVE ID) Вы можете найти здесь. Одно из обновлений MS13–069 нацелено на исправление десяти Critical уязвимостей в браузере Internet Explorer (начиная с 6-й версии и заканчивая новейшим IE 10 для всех ОС Windows XP — 8 — RT, x32 и x64, серверных версий ОС как Moderate). Уязвимости относятся к типу Remote Code Execution (memory-corruption) и могут использоваться для скрытной установки вредоносного кода (drive-by). Для применения исправления нужна перезагрузка.
В сентябре стали известны подробности эксплуатирования RCE уязвимости в win32k.sys, которая была закрыта MS13–053 и может использоваться для обхода ограничений режима sandbox в браузере Google Chrome (Google Chrome full sandbox bypass w/ win32k, WebKit/Blink flaws via CVE-2013–0912, CVE-2013–1300). Успешная демонстрация работы связки эксплойтов для проведения drive-by атаки в последней [на тот момент] версии Chrome была продемонстрирована на Pwn2Own 2013, о чем мы уже писали ранее. В прошлом месяце Microsoft закрыли уязвимости в последней версии Internet Explorer и механизме ASLR, которые использовались для успешного проведения drive-by атаки в рамках Pwn2Own 2013.Читать дальше →
