Когда 2016 год почти подошел к концу, Microsoft выпустила свой последний «Патч вторник«Обновление за год. Это обновление, безусловно, наибольшее количество обновлений безопасности, выпущенных за один патч. Он содержит шесть критических исправлений, остальные шесть оценены как важные. Он покрывает 34 отдельных недостатка, каждая из которых может привести к удаленному выполнению кода. Так что будьте готовы к перезапуску. Желательно не откладывать развертывание этих исправлений. Начиная с трех из них, устраняют уязвимости, о которых стало известно публично.
Критические недостатки описаны в бюллетенях. MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 и MS16-154. Говорят, что они преодолевают уязвимости в Windows, Internet Explorer, Edge и Office. В частности, сбой, с которым столкнулись пользователи Windows 10 при подключении к Интернету после последней волны исправлений, выпущенных Microsoft.
Отмечено как «Критическое»:
MS16-144
MS16-144 выпущен для устранения множества ошибок в Internet Explorer. Он также исправляет пару сбоев, которые обычно вызывают утечку информации, и одну, которая может привести к утечке информации в библиотеке объектов гиперссылок Windows. Этот патч будет включен в декабрьское ежемесячное обновление безопасности для Windows.
Вот публично раскрытые недостатки
- CVE-2016-7282 - уязвимость, связанная с раскрытием информации в браузере Microsoft.
- CVE-2016-7281 - ошибка обхода функции безопасности браузера Microsoft.
- CVE-2016-7202 - аномалия повреждения памяти в скриптовом движке.
Этому обновлению присвоен рейтинг «Исправить сейчас» в основном из-за серьезности проблемы, которую оно призвано исправить. MS16-144 будет применяться ко всем поддерживаемым в настоящее время версиям IE.
MS16-145
MS16-145 исправляет несколько обнаруженных ошибок в «новом и улучшенном» браузере Microsoft Edge. Количество зарегистрированных сбоев на удивление даже больше, чем у Internet Explorer, который оценивается 11 недостатками. MS16-145 решает эти критические проблемы.
- Пять обычных недостатков скриптового движка.
- Два бага с повреждением памяти.
- Обход функции безопасности.
MS16-146
MS16-146 имеет тенденцию исправлять критические уязвимости удаленного выполнения кода в графическом компоненте Microsoft Windows. Более того, он исправляет ошибку раскрытия информации Windows GDI. Обо всех этих уязвимостях сообщается в частном порядке. Патч должен заменить обновление графических компонентов в прошлом месяце для всех Windows 10 и Server. 2016 системы.
Это также второй патч для Windows Security Only или «накатываемое» обновление за этот месяц.
MS16-147
MS16-147 выпущен исключительно для устранения сохраняющейся ответственности в Windows Uniscribe. Сообщается, что ошибка запускает сценарий удаленного выполнения кода. Это если пользователи посещают специально созданный веб-сайт или открывают специально созданный документ. Это определенно то, что мы не видим каждый месяц.
Для тех, кто не знает, компонент Uniscribe - это набор API, которые предназначены для обработки типографики в Windows для разных языков.
MS16-148
В MS16-148 выпущен для устранения множества уязвимостей удаленного выполнения кода. В Microsoft Office сохраняются 16 изъянов, внесенных частным образом. Серьезность сбоев можно определить по тому факту, что, если их не исправить, они могут привести к сценарию удаленного выполнения кода в целевой системе. Вот список глюков:
- Четыре ошибки повреждения памяти.
- Проблема с боковой загрузкой Office OLE DLL.
- Ошибка, которая раскрывает важную информацию GDI вместе с некоторыми другими.
MS16-154
В MS16-154 patch - это оболочка, которая устраняет серьезные недостатки встроенного Adobe Flash Player. Это потенциально самая опасная проблема, если ее не исправить. Говорят, что он исправляет 17 проблем, включая одну уязвимость, которая в настоящее время работает в дикой природе. Microsoft неожиданно предложила смягчающий фактор для этой проблемы. Это удивительно, потому что компания никогда этого не делает. Обходной путь - полностью удалить Flash.
Поступали сообщения об уязвимости нулевого дня, которая скомпрометировала 32-битные системы Internet Explorer. Итак, это критическое обновление «Исправить сейчас».
Он адресован:
- Четыре ошибки переполнения буфера.
- Пять проблем с повреждением памяти, которые потенциально могут вызвать удаленное выполнение кода.
Помечено как «Важное»:
MS16-149
Патч выпущен для решения двух проблем в Windows, о которых сообщалось в частном порядке.
- Ошибка раскрытия криптографической информации Windows, которая связана с обработкой объектов в памяти.
- Ошибка, приводящая к повышению привилегий в Компонент криптографии Windowsт.
MS16-149 будут добавлены в сводку безопасности этого месяца.
MS16-150
Это обновление безопасности для устранения единственной уязвимости, о которой сообщается в частном порядке. MS16-150 Относительно постоянной проблемы ядра Windows, которая может поставить под угрозу права пользователей. В основном это вызвано неправильным обращением с объектами в памяти.
MS16-151
MS16-151 попытки исправить пару мелких ошибок. О каждом сообщается в частном порядке, и считается, что он причиняет минимальный вред. Один из них связан с ошибкой Win32k EoP в Ядро Windows драйверы режима. Другая проблема, которую он решает, - это графический компонент Windows, неправильно обрабатывающий объекты в памяти.
MS16-152
MS16-152 это исправление безопасности для Ядро Windows и направлен на устранение единоличной ответственности. Об этой уязвимости в Ядро Windows это влияет только на системы Windows 10 и Server 2016. Известно, что ошибка в худшем случае приводит к раскрытию информации. Этот патч будет поставляться вместе с ежемесячным обновлением Windows.
Этот патч устраняет единственную ошибку раскрытия информации, о которой также сообщалось в частном порядке. Ошибка сохраняется в подсистеме драйверов Windows, вызванная обновлением общей файловой системы журнала (CLFS).
MS16-155
MS16-155 исправляет обязательства .NET Framework. Microsoft отметила, что ошибка публично раскрытый но не эксплуатируется. Это потенциально уязвимость с меньшим риском, и для нее предусмотрен собственный пакет обновлений. Таким образом, он был избавлен от включения в обновления качества и безопасности Windows.
Этого достаточно, что вам нужно знать о каждом обновлении безопасности последнего вторника исправлений в этом году. Так что до следующего года, удачных исправлений.
Связанные истории вы должны прочитать:
- Июньское исправление безопасности Windows 10 содержит огромные исправления для IE, Edge, Flash Player и ОС Windows
- Накопительное обновление Windows 10 Mobile устраняет некоторые известные проблемы и повышает общую производительность.
- Обнародованная Google брешь в системе безопасности исправлена Microsoft
- Windows 7 KB3205394 исправляет основные уязвимости системы безопасности, установите его сейчас
