Microsoft Security Bulletin 09/2013

CERT.GOV.PL
Źródło: http://www.cert.gov.pl/cer/wiadomosci/poprawki-i-aktualizacj/645,Microsoft-Security-Bulletin-092013.html
Wygenerowano: Środa, 8 marca 2017, 04:09
Microsoft Security Bulletin 09/2013
Firma Microsoft opublikowała wrześniowe biuletyny bezpieczeństwa, w których informuje o usunięciu wielu błędów w swoich
produktach. Cztery aktualizacje posiadają status „krytyczny”, a dziewięć sklasyfikowanych zostało, jako „ważne”.
Podatności uznane, jako „krytyczne”:
●
●
●
●
MS13-067 - dotyczy luk występujących w zabezpieczeniach programu Microsoft SharePoint Server. Aktualizacja usuwa
dziesięć luk. Najpoważniejsza z nich może pozwolić na zdalne wykonanie kodu.
MS13-068 - dotyczy luki występującej w Microsoft Outlook. Poprawka usuwa lukę mogącą pozwolić na zdalne wykonanie
kodu w przypadku, gdy użytkownik otworzy specjalnie spreparowaną wiadomość e-mail za pomocą programu Microsoft
Outlook. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik
lokalny.
MS13-069 - dotyczy luk występujących w zabezpieczeniach programu Internet Explorer. Poprawka usuwa dziewięć luk,
mogących pozwolić na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowaną stronę
sieci Web przy użyciu programu Internet Explorer. Osoba atakująca, której uda się wykorzystać najpoważniejszą z tych luk,
może uzyskać takie same uprawnienia, jak użytkownik lokalny.
MS13-070 - dotyczy luk występujących w zabezpieczeniach systemów Microsoft Windows. Luka ta może pozwolić na zdalne
wykonanie kodu, jeśli użytkownik otworzy plik zawierający specjalnie spreparowany obiekt OLE. Osoba atakująca, której
uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżącego użytkownika.
Podatności uznane jako „ważne”:
●
●
●
●
●
●
●
●
●
MS13-071 - dotyczy luki występującej w zabezpieczeniach systemów Microsoft Windows. Poprawka usuwa lukę w
zabezpieczeniach występującą w Windows Theme File. Luka ta może pozwolić na zdalne wykonanie kodu, jeśli użytkownik
skorzysta z specjalnie spreparowanego motywu systemu Windows.
MS13-072 - dotyczy luk występujących w zabezpieczeniach pakietu Microsoft Office. Poprawka usuwa trzynaście luk,
najpoważniejsze z nich mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik
przy użyciu oprogramowania Microsoft Office. Osoba atakująca, której uda się wykorzystać najpoważniejsze z tych luk,
może uzyskać takie same uprawnienia, jak bieżącego użytkownika.
MS13-073 - dotyczy luk występujących w Microsoft Excel. Poprawka usuwa trzy luki, mogące pozwolić na zdalne wykonanie
kodu, jeśli użytkownik otworzy specjalnie spreparowany plik pakietu Office. Osoba atakująca, której uda się wykorzystać
najpoważniejsze z tych luk, może uzyskać takie same uprawnienia, jak bieżącego użytkownika.
MS13-074 - dotyczy luk występujących w Microsoft Access. Poprawka usuwa trzy luki, mogące pozwolić na zdalne
wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik programu Access. Osoba atakująca, której uda się
wykorzystać te luki, może uzyskać takie same uprawnienia, jak bieżącego użytkownika.
MS13-075 - dotyczy luki występującej w Microsoft Office. Poprawka usuwa lukę mogącą umożliwić podniesienie uprawnień,
jeśli zalogowany atakujący uruchomi przeglądarkę Internet Explorer z paska narzędzi w programie Microsoft Pinyin IME dla
języka chińskiego uproszczonego. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod w
trybie jądra. Osoba taka może wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe
konta z pełnymi uprawnieniami administratora.
MS13-076 - dotyczy luk występujących w zabezpieczeniach systemu Windows. Aktualizacja usuwa siedem luk, mogących
umożliwić podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną
aplikację. Osoba atakująca musi dysponować prawidłowymi poświadczeniami logowania oraz być w stanie zalogować się
lokalnie.
MS13-077 - dotyczy luki występującej w Windows Service Control Manager. Aktualizacja usuwa lukę, mogącą umożliwić
podniesienie uprawnień, jeśli osoba atakująca przekona uwierzytelnionego użytkownika na wykonanie specjalnie
spreparowanej aplikacji. Aby wykorzystać tę lukę, atakujący musi dysponować prawidłowymi poświadczeniami logowania
oraz być w stanie zalogować się lokalnie lub przekonać użytkownika do uruchomienia specjalnego programu.
MS13-078 - dotyczy luki występującej w zabezpieczeniach programu FrontPage. Luka ta może pozwolić na ujawnienie
informacji, jeśli użytkownik otworzy specjalnie spreparowany dokument programu FrontPage. Luki nie można wykorzystać
automatycznie, aby atak się powiódł, użytkownik musi otworzyć specjalnie spreparowany dokument.
MS13-079 - dotyczy luki występującej w zabezpieczeniach usługi Active Directory. Aktualizacja poprawia lukę
umożliwiającą odmowę usługi, jeśli osoba atakująca wyśle specjalnie spreparowaną kwerendę do Lightweight Directory
Access (LDAP) oraz protokołów serwisowych.
CERT.GOV.PL zaleca użytkownikom i administratorom zastosowanie wszelkich niezbędnych aktualizacji w celu minimalizacji
zagrożeń.
Źródło: http://technet.microsoft.com/en-us/security/bulletin/ms13-sep
aktualizacje, Microsoft Security Bulletin, poprawki
KM
Ocena: 5/5 (1)