След като 2016 почти напусна заминаването, Microsoft пуснаха последната си „Кръпка вторник‘Актуализация за годината. Тази актуализация е далеч най-голям брой актуализации на защитата, пуснати в една кръпка. Той разполага с шест критични кръпки, като останалите шест са оценени като важни. Той обхваща 34 отделни недостатъка, всички от които, ако бъдат използвани, могат да доведат до дистанционно изпълнение на код. Така че се пригответе за рестартиране. Изгодно е да не отлагате разполагането на тези кръпки. Тъй като три от тях, адресират уязвимости, които са публично разкрити.
Критичните недостатъци са обяснени в бюлетини MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 и MS16-154. Твърди се, че преодоляват податливостта в Windows, Internet Explorer, Edge и Office. По-конкретно, проблемът на потребителите на Windows 10 беше изправен, докато се свързваше с интернет след последната вълна от корекции, пуснати от Microsoft.
Означено като „Критично“:
MS16-144
MS16-144 е пуснат за справяне с множество грешки в Internet Explorer. Той също така коригира няколко грешки, които са склонни да причиняват изтичане на информация и един, който може да доведе до нарушаване на информацията в обектната библиотека на хипервръзки на Windows. Тази корекция ще бъде включена в месечната актуализация за сигурност през декември за Windows.
Ето публично разкритите недостатъци
- CVE-2016-7282 - уязвимост при разкриване на информация за браузър на Microsoft.
- CVE-2016-7281 - грешката на байпаса на функцията за сигурност на браузъра на Microsoft.
- A CVE-2016-7202 - аномалия на корупцията на паметта на скриптове.
Тази актуализация е оценена като „Patch Now“, главно поради сериозността на проблема, който е предназначен да отстрани. MS16-144 ще се прилага за всички поддържани в момента версии на IE.
MS16-145
MS16-145 ремонтира няколко от съобщените грешки в ‘новия и подобрен’ браузър Edge на Microsoft. Броят на съобщените бъгове е изненадващо дори повече от Internet Explorer, който е оценен с 11 недостатъка. MS16-145 решава тези критични проблеми.
- Пет от обичайните недостатъци на скриптовия двигател.
- Две от грешката при повреда на паметта.
- Байпас на защитна функция.
MS16-146
MS16-146 има тенденция да коригира критични уязвимости за отдалечено изпълнение на код в Microsoft Graphics Component на Windows. Освен това той поправя недостатъка на Windows GDI в разкриването на информация. Всички тези уязвимости се отчитат частно. Пачът трябва да замени актуализацията на графичните компоненти от миналия месец за всички Windows 10 и Server 2016 системи.
Това е и втората корекция за актуализация Само за сигурност на Windows или „сгъваема“ актуализация за този месец.
MS16-147
MS16-147 е издаден единствено за справяне с продължаващата отговорност в Windows Uniscribe. Казва се, че грешката е компенсирала сценарий за дистанционно изпълнение на код. Това е ако потребителите посещават специално изработен уебсайт или отварят специално създаден документ. Това със сигурност е нещо, което не виждаме всеки месец.
За тези, които не знаят, компонентът Uniscribe е колекция от API, които са предназначени за обработка на типография в Windows за различни езици.
MS16-148
The MS16-148 е пуснат за справяне с изобилието от уязвимости за отдалечено изпълнение на код. 16-те недостатъка, вписани частно, продължават да съществуват в Microsoft Office. Тежестта на бъговете може да се определи от факта, че ако не бъдат запълнени, те могат да доведат до сценарий за отдалечено изпълнение на код на целевата система. Ето списъка с проблеми:
- Четири грешки при повреда на паметта.
- Проблем със странично зареждане на Office OLE DLL.
- Грешка, която разкрива критична информация за GDI заедно с няколко други.
MS16-154
The MS16-154 patch е обвивка и отстранява важни недостатъци във вградения Adobe Flash Player. Това е потенциално най-опасният проблем, ако не бъде изпратен. Твърди се, че поправя 17 проблема, включително един недостатък, който в момента се изпълнява в дивата природа. Microsoft изненадващо предложи смекчаващ фактор за този проблем. Удивително е, защото компанията обикновено никога не прави това. Заобиколното решение е да деинсталирате Flash напълно.
Получават се доклади относно уязвимост от нулев ден, които успяват да компрометират 32-битови системи Internet Explorer. И така, това е критична актуализация „Patch Now“.
Той адресира:
- Четири грешки при препълване на буфера.
- Пет проблема с корупцията на паметта, които потенциално могат да причинят дистанционно изпълнение на код.
Означено като „Важно“:
MS16-149
Кръпката е пусната, за да разреши два частно съобщени проблема в Windows.
- Недостатък на разкриването на крипто информация на Windows, който включва обработка на обекти в паметта.
- Грешка, която води до повишаване на привилегията в Windows компонент за криптографияT.
MS16-149 ще бъде добавен към списъка със сигурност за този месец.
MS16-150
Това е актуализация на защитата за единствена уязвимост, докладвана частно. MS16-150 по отношение на постоянния проблем на ядрото на Windows, който може да компрометира потребителските привилегии. Причинява се главно от неправилно боравене с обекти в паметта.
MS16-151
MS16-151 опити за ремонтиране на няколко малки грешки. Всеки частно докладван и се очаква да причини минимална вреда. Единият е свързан с недостатъка на Win32k EoP Ядро на Windows драйвери за режим. Другият проблем, който той адресира, е графичният компонент на Windows, неправилно боравещ с обекти в паметта.
MS16-152
MS16-152 е кръпка за сигурност за Ядро на Windows и има за цел да се справи с едноличната отговорност. Това е частна докладвана уязвимост в Ядро на Windows това засяга само системите Windows 10 и Server 2016. Известно е, че грешката причинява разкриване на информация, в най-лошия случай. Този пластир ще бъде включен в пакета на Windows за месечно представяне.
Този пластир решава единичен проблем при разкриване на информация, също частно заявен. Грешката продължава да съществува в подсистема с драйвери на Windows, задействана от актуализиране на Common Log File System (CLFS).
MS16-155
MS16-155 поправя отговорност за .NET рамка. Microsoft отбеляза, че грешката е публично оповестени но не се експлоатира. Това е потенциално уязвимост с по-нисък риск и има свой собствен пакет за актуализация. Следователно, той е пощаден от включването в сборните системи за качество и сигурност на Windows.
Това е достатъчно, за да трябва да знаете за всяка актуализация на защитата на последния тазгодишен кръпка във вторник. Така че до следващата година, Happy Patching.
Свързани истории, които трябва да прочетете:
- Пачът за сигурност на Windows 10 юни съдържа огромни корекции за IE, Edge, Flash Player и Windows OS
- Кумулативната актуализация на Windows 10 Mobile коригира някои известни проблеми и подобрява цялостната производителност
- Публикуван от Google недостатък в сигурността, отстранен от Microsoft
- Windows 7 KB3205394 закърпва основните уязвимости в сигурността, инсталирайте го сега
