Microsoft в рамках ежемесячного выпуска обновлений безопасности представила 13 бюллетеней, содержащих исправления для 47 уязвимостей в продуктах компании.
Информация об атаках XML External Entities Resolution CVE-2013-3159 и CVE-2013-3160, получивших развитие под названием XXE OOB, и способах их реализации была впервые представлена специалистами Positive Technologies на конференции Black Hat весной этого года. Эти ошибки безопасности могут эксплуатироваться злоумышленником через специально созданные файлы Office, а успешная атака приводит к возможности просмотреть содержимое любого файла на атакуемой системе.
Исследователями Positive Technologies был обнаружен новый вектор атаки, что позволило выявить проблемы не только в офисных продуктах Microsoft, но и в решениях компании Invensys Wonderware, в популярном межсетевом экране для защиты веб-приложений ModSecurity и во многих других продуктах.
На устранение уязвимостей CVE-2013-3159 и CVE-2013-3160 в Microsoft Office нацелены патчи MS13-073 для Excel и MS13-072 для других программ офисного пакета Microsoft. Обновления препятствуют удаленному выполнению кода и неавторизованному доступу к произвольному содержимому.
Кроме того, важное обновление MS13-078 исправляет уязвимость раскрытия информации в Microsoft FrontPage 2003 SP 3 (CVE-2013-3137), которую обнаружили специалисты Positive Technologies. С помощью этой ошибки злоумышленник также может получить доступ к содержимому любого файла на компьютере жертвы.
Positive Technologies не в первый раз сотрудничает с компанией Microsoft в вопросах повышения безопасности продуктов софтверного гиганта. В 2009 году Positive Technologies выпустила сетевую утилиту для проверки наличия исправлений, описанных в бюллетенях безопасности MS08-065, MS08-067 и MS09-001, а в сентябре 2012 года эксперт исследовательского центра Positive Research Артем Шишкин обнаружил возможность обхода технологии защиты Intel SMEP в RTM-версии Microsoft Windows 8.
5778 К? Пф! У нас градус знаний зашкаливает!