Microsoft выпускает критические обновления безопасности для IE и Windows

Время чтения: 1 минут

Серия обновлений безопасности, выпущенных Microsoft 11 марта, включала исправления критической уязвимости в безопасности Internet Explorer 9 и 10, а также предпоследние обновления для Windows XP.

Об эксплойте «нулевого дня» Internet Explorer стало известно в январе прошлого года, когда фирма FireEye, занимающаяся безопасностью, впервые обнаружила ранее неизвестную «эксплойт нулевого дня», компрометирующий веб-сайт Veterans for Foreign Wars, vfw.org. Согласно FireEye, злоумышленники скомпрометировали веб-страницу и добавили iFrame, встроенный фрейм, который загружает страницу, содержащую JavaScript и Flash-анимацию, зараженную вредоносным ПО. Затем пользователи страницы были перенаправлены на удаленный сайт, где на их компьютерах была загружена и запущена полная полезная нагрузка вредоносного ПО.

Интересным аспектом этой атаки является то, что функция защиты от эксплойтов Windows, Address Space Random Layout (ASRL), была преодолена с помощью Adobe Flash Action Script, который загружал зараженную анимацию в память.

Это также предпоследнее обновление безопасности для Windows XP и Office 2003, хотя в него не было включено ничего, относящегося к Office. Обновления включают исправления для четырех уязвимостей в Windows XP. Дополнительные сведения см. в следующих бюллетенях обновлений Microsoft:

MS14-012: накопительное обновление безопасности для Internet Explorer (2925418)
MS14-013: Уязвимость в Microsoft DirectShow делает возможным удаленное выполнение кода (2929961)
MS14-014: Уязвимости в драйвере режима ядра Windows делают возможным несанкционированное получение прав (2930275)
MS14-015: Уязвимость в протоколе Security Account Manager Remote (SAMR) делает возможным обход функций безопасности (2934418)
MS14-016: Уязвимость в Silverlight делает возможным обход функций безопасности (2932677)

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО