Компания Microsoft выпустила 13 свежих бюллетеней безопасности, ликвидирующих более двух десятков уязвимостей в защите популярных программных продуктов. Производитель обещает залатать пару критически опасных брешей, в браузере Internet Explorer и серверных версиях операционной системе Windows.
Брешь в системе защиты «эксплорера» существует во всех современных версиях браузера от Microsoft (включая IE 8 и 9) и открывает перед злоумышленниками возможность выполнения вредоносного кода на удаленной машине. Для того, чтобы скомпрометировать систему, конечному пользователю достаточно посетить один из вредоносных веб-сайтов. Эксперты утверждают, что до настоящего момента уязвимость не используется хакерами, однако с большой долей вероятности соответствующий эксплойт может появиться в течение следующих 30 дней.
Второе критическое обновление охватывает все версии операционной системы Windows Server 2003 и Windows Server 2008 (в том числе последние обновления R2), которая считается одной из самых безопасных серверных платформ от Microsoft. Указанная уязвимость позволяет злоумышленникам установить всеобъемлющий контроль над удаленным компьютером.
Оставшиеся патчи ликвидируют менее критические «бреши» в продуктах Windows Office, .Net и Visual Studio. Впрочем, сторонние эксперты по вопросам информационной безопасности рекомендуют пользователям обратить особое внимание на бюллетень Microsoft Security Bulletin MS11-064, выпущенный с пометкой «важный». Это обновление позволяет ликвидировать уязвимость в стеке протоколов TCP/IP, позволяющую проводить атаки, типа «Denial of Service».
У специалистов из компании nCircle брешь, известная как CVE-2011-1871, вызвала воспоминания о «смертельном пинге» (Ping of death) – разновидности атак, известной уже около двух десятков лет. Многие владельцы персональных компьютеров, выходящие в Интернет в 90-х годах прошлого века, могут вспомнить эти атаки, позволяющие спровоцировать сбой и перезагрузку системы с помощью особым образом составленного ping-запроса.
По материалам сайтов The Register и PCWorld.