Microsoft устранила пять критических и три важных уязвимости

Microsoft выпустила восемь обновлений безопасности. Пять из них относятся к рейтингу "критическая" - эти уязвимости позволяют злоумышленникам через Сеть выполнить произвольный вредоносный код с правами пользователя. Одно из трех наиболее важных обновлений устраняет уязвимость в ядре Windows - она позволяет получить полный контроль над системой (с привилегиями администратора).

Бюллетени MS08-023 и MS08-024 относятся к уязвимостям, которые касаются всех версий Internet Explorer для всех версий Windows. Для того чтобы "подцепить" вредоносный код, пользователи должны посетить зараженную страничку с помощью Internet Explorer. Ошибка обработки потоковых данных в IE (MS08-024) является "критической" для всех версий. В MS08-023 разработчики IE решили сразу две проблемы в работе с компонентами ActiveX.

Для Windows 2000 и XP Microsoft оценивает уязвимости, связанные с ActiveX, как "критические". На Server 2003, в котором данные элементы используются не так часто, уязвимость отнесена к категории "умеренных". Под Vista и Windows Server 2008 рейтинг уязвимостей оценивается как "важный" и "низкий" соответственно, вероятно, потому, что их сложно эксплуатировать в этих системах из-за новых механизмов безопасности.

Критическая уязвимость безопасности в VBScript 5.6 и JScript 5.6 (MS08-022) также затрагивает IE, но не под Vista или Server 2008. MS08-021 описывает две уязвимости в устройстве графического интерфейса (GDI). Специально подготовленные emf- или wmf-файлы могут вызвать переполнение буфера, благодаря которому атакующие могут выполнить произвольный код. Ошибки в GDI сказываются на всех версиях Windows и также характеризуются как "критические".

Еще три обновления классифицируются как "важные" и затрагивают ядро Windows (MS08-025), клиент Windows DNS (MS08-020) и Microsoft Office Visio (MS08-019). Во всех версиях Windows ядро фильтрует некоторые данные недостаточно, что позволяет атакующим получить полный контроль над системой. DNS-клиент может быть "обманут" через ложные IP-адреса, это позволяет внедрить вредоносный код через веб-сервер. По данным бюллетеня, Vista SP1 и Server 2008 не затрагиваются. Компонент Visio, входящий в пакет Office также уязвим, пишет Heise Security.

Пользователи Windows должны установить обновления как можно быстрее, рекомендует Microsoft. Патчи могут быть установлены автоматически с помощью функции обновления Windows или через сайт Microsoft.