ANTICHAT — форум по информационной безопасности, OSINT и технологиям

10 июня, следуя установленному порядку, корпорация Microsoft выпустила очередную, июньскую серию обновлений для семейства своих ОС, а также ПО, выпускаемого компанией.

Выпущены 7 бюллетеней по безопасности - MS08-030 - MS08-036. 3 бюллетеня имеют статус критических, 3 - важных и 1 - умеренно опасного. Одна из критических уязвимостей выявлена в реализации поддержки беспроводной связи Bluetooth программных платформ Windows. Злоумышленник путем отправки жертве большого количества специально сформированных пакетов данных за короткий интервал времени может захватить полный контроль над удаленным компьютером. Брешь присутствует в операционных системах Windows ХР с SP3 и Windows Vista с SP1.

Также выпущен кумулятивный патч 950759, устраняющий дыры в различных версиях браузера Internet Explorer, включая IE 6 и 7. Злоумышленник через сформированную особым образом веб-страницу теоретически может получить несанкционированный доступ к удаленному ПК. Также две критические уязвимости выявлены в компонентах DirectX версий 7.0, 8.1, 9.0 и 10.0. Вынудив пользователя открыть вредоносный файл, атакующий может захватить полный контроль над компьютером жертвы. Заплатки рекомендуется установить пользователям Windows 2000, Windows ХР, Windows Vista и Windows Server 2003.

Среди важных уязвимостей сообщается об уязвимостях в службе Active Directory программных платформ Windows, сервисе Windows Internet Naming (WINS) и реализации протокола Pragmatic General Multicast (PGM). Дыры могут быть использованы с целью организации DoS-атак или повышения уровня привилегий на компьютере жертвы. Уязвимость, охарактеризованная умеренно опасной, обнаружена в компонентах операционных систем Windows, отвечающих за распознавания речи. Для того чтобы осуществить нападение через эту дыру, злоумышленнику необходимо вынудить пользователя посетить сформированный особым образом веб-сайт в интернете.

+++ двумя часами позже

Как и следовало ожидать, после выхода обновлений от Microsoft начали появляться описания уязвимостей ПО Microsoft. Zero Day Initiative (ZDI) опбуликовала подробности уязвимости в браузере Internet Explorer. Уязвимость связана с ошибкой, присутствующей в методе substringData(), применяемом при обработке DOM-объектов браузером. В результате может возникнуть переполнение буфера в куче, которое может привести к исполнению произвольного кода с полномочиями пользователя, запустившего браузер. Для проведения атаки необходимо каким-либо образом вынудить пользователя посетить Веб-сайт со специальным образом оформленной страницей. Методы устранения уязвимости описываются в бюллетене MS08-031.

11.06.08

uinc.ru

---------------------------------------------------------------------------------------
офф релиз мелкомягких --->>> http://www.microsoft.com/technet/security/bulletin/ms08-jun.mspx
Описание уязвимости --->>> http://www.zerodayinitiative.com/advisories/ZDI-08-039/