С приближением 2016 года Microsoft выпустила свое последнее обновление «Patch Tuesday» за год. Это обновление имеет наибольшее количество обновлений безопасности, выпущенных в одном патче. Он имеет шесть критических патчей, остальные шесть оцениваются как важные. Он охватывал 34 отдельных недостатка, каждый из которых при использовании мог привести к удаленному выполнению кода. Так что будьте готовы к перезагрузке. Желательно не откладывать развертывание этих патчей. Поскольку три из них, устранение уязвимостей, которые были публично раскрыты.

Критические недостатки объясняются в бюллетенях MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 и MS16-154. Говорят, что они преодолевают уязвимости в Windows, Internet Explorer, Edge и Office. Более конкретно, с ошибкой Windows 10 пользователи столкнулись при подключении к Интернету после последней волны патчей, выпущенных Microsoft.

Помечено как «Критическое»:

MS16-144

MS16-144 выпущен для устранения множества ошибок в Internet Explorer. Также исправлено несколько сбоев, которые могут привести к утечке информации, и один, который может привести к нарушению информации в библиотеке объектов гиперссылки Windows. Этот патч будет включен в декабрьское ежемесячное обновление безопасности для Windows.

Вот публично раскрытые недостатки

• CVE-2016-7282 - уязвимость раскрытия информации в браузере Microsoft.
• CVE-2016-7281 - ошибка обхода функции безопасности браузера Microsoft.
• CVE-2016-7202 - аномалия повреждения памяти в скриптовом движке.

Это обновление было оценено как «Patch Now», главным образом из-за серьезности проблемы, которую оно предназначено для устранения. MS16-144 будет применяться ко всем поддерживаемым в настоящее время версиям IE.

MS16-145

MS16-145 исправляет несколько ошибок в «новом и улучшенном» браузере Edge от Microsoft. Количество зарегистрированных глюков на удивление даже больше, чем у Internet Explorer, который подвергается 11 ошибкам. MS16-145 решает эти критические проблемы.

• Пять из обычных недостатков скриптового движка.
• Два из ошибок повреждения памяти.
• Обход функции безопасности.

MS16-146

MS16-146 имеет тенденцию исправлять критические уязвимости удаленного выполнения кода в графическом компоненте Microsoft Windows. Кроме того, это исправляет ошибку раскрытия информации Windows GDI. Все эти уязвимости сообщаются в частном порядке. Патч должен заменить обновление графического компонента в прошлом месяце для всех систем Windows 10 и Server 2016.

Это также второй патч для Windows Security Only или «свернутого» обновления за этот месяц.

MS16-147

MS16-147 выпущен исключительно для устранения существующей ответственности в Windows Uniscribe. Говорят, что ошибка вызывает сценарий удаленного выполнения кода. Это если пользователи посещают специально созданный веб-сайт или открывают специально созданный документ. Это то, что мы не видим каждый месяц.

Для тех, кто не знает, компонент Uniscribe представляет собой набор API, которые предназначены для обработки типографики в Windows для разных языков.

MS16-148

MS16-148 выпущен для устранения множества уязвимостей удаленного выполнения кода. 16 дефектов, вписанных частным образом, сохраняются в Microsoft Office. Серьезность сбоев может быть определена тем фактом, что, если оставить их не исправленными, они могут привести к сценарию удаленного выполнения кода в целевой системе. Вот список глюков:

• Четыре ошибки повреждения памяти.
• Проблема боковой загрузки Office OLE DLL.
• Ошибка, которая раскрывает важную информацию GDI наряду с несколькими другими.

MS16-154

Патч MS16-154 является оберткой и исправляет критические недостатки во встроенном Adobe Flash Player. Это потенциально самая опасная проблема, если оставить ее не исправленной. Говорят, что исправлено 17 проблем, включая один недостаток, который в настоящее время работает в условиях дикой природы Microsoft неожиданно предложила смягчающий фактор для этой проблемы. Это удивительно, потому что компания обычно этого не делает. Обходной путь - полностью удалить Flash.

Были получены сообщения об уязвимости нулевого дня, которая смогла скомпрометировать 32-разрядные системы Internet Explorer. Итак, это критическое обновление «Patch Now».

Это адреса:

• Четыре ошибки переполнения буфера.
• Пять проблем с повреждением памяти, которые могут привести к удаленному выполнению кода.

Помечено как «Важное»:

MS16-149

Патч выпущен для решения двух проблем, о которых сообщалось в частном порядке в Windows.

• Недостаток раскрытия криптографической информации Windows, который включает в себя обработку объектов в памяти.
• Ошибка, приводящая к повышению привилегий в компоненте криптографии Windows.

MS16-149 будет добавлен в сводку безопасности этого месяца.

MS16-150

Это обновление безопасности для единственной уязвимости, о котором сообщалось в частном порядке. MS16-150 относится к постоянной проблеме ядра Windows, которая может поставить под угрозу пользовательские привилегии. Это в основном вызвано неправильным обращением с объектами в памяти.

MS16-151

MS16-151 пытается исправить несколько мелких ошибок. Каждый из них зарегистрирован в частном порядке и, по оценкам, причиняет минимальный вред. Один из них связан с недостатком Win32k EoP в драйверах режима ядра Windows. Другая проблема, которую он затрагивает, - это графический компонент Windows, неправильно обрабатывающий объекты в памяти.

MS16-152

MS16-152 - это исправление безопасности для ядра Windows, целью которого является исключительная ответственность. Это частная уязвимость в ядре Windows, которая затрагивает только системы Windows 10 и Server 2016. В худшем случае, как известно, ошибка приводит к раскрытию информации. Этот патч будет поставляться вместе с ежемесячным выпуском Windows.

MS16-153

Этот патч устраняет один глюк раскрытия информации, также заявленный в частном порядке. Ошибка сохраняется в подсистеме драйвера Windows, которая вызывается обновлением файловой системы общего журнала (CLFS).

MS16-155

MS16-155 исправляет.NET рамки ответственности. Microsoft отметила, что эта ошибка публично раскрыта, но не используется. Это потенциально уязвимость с низким уровнем риска и имеет собственный пакет обновлений. Таким образом, он был избавлен от включения в систему качества и безопасности Windows.

Этого достаточно, чтобы знать о каждом обновлении безопасности последнего исправления, выпущенного в этом году во вторник. Так что до следующего года, Happy Patching.

Связанные истории, которые вы должны прочитать:

• Исправление безопасности для Windows 10 июня содержит огромные исправления для IE, Edge, Flash Player и ОС Windows.
• Накопительное обновление Windows 10 Mobile устраняет некоторые известные проблемы и повышает общую производительность
• Оглашенный Google недостаток безопасности, исправленный Microsoft
• Windows 7 KB3205394 исправляет основные уязвимости, установите их сейчас