Оскільки 2016 майже досяг свого виходу, Microsoft випустила своє останнє оновлене оновлення за рік "Patch Tuesday". Це оновлення має найвищу кількість оновлень безпеки, випущених за один патч. Він містить шість критичних виправлень, а решта шість оцінено як важливі. Він охоплював 34 окремі недоліки, всі з яких при експлуатації можуть призвести до віддаленого виконання коду. Тому готуйтеся до перезапуску. Бажано не затягувати розгортання цих патчів. Починаючи з трьох з них, вирішуйте вразливості, які були оприлюднені.

Критичні недоліки пояснюються в бюлетенях MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 та MS16-154. Кажуть, що вони подолали сприйнятливість в Windows, Internet Explorer, Edge та Office. Більш конкретно, проблеми з користувачами Windows 10 стикалися під час підключення до Інтернету після останньої хвилі виправлень, випущених Microsoft.

Позначено "Критично":

MS16-144

MS16-144 випускається для вирішення безлічі помилок в Internet Explorer. Він також виправляє пару глюків, які, як правило, викликають витоки інформації, і той, який може призвести до порушення інформації в бібліотеці об'єктів гіперпосилання Windows. Цей виправлення буде включено в щомісячне оновлення безпеки для грудня для Windows.

Ось публічно оприлюднені вади

• CVE-2016-7282 - вразливість розкриття інформації браузера Microsoft.
• CVE-2016-7281 - функція захисту браузера Майкрософт у байпасі.
• CVE-2016-7202 - аномалія корупції в пам'яті сценаріїв.

Це оновлення було оцінено "Виправити зараз", головним чином через гостроту проблеми, яку він покликаний виправити. MS16-144 буде застосовано до всіх підтримуваних в даний час версій IE.

MS16-145

MS16-145 відремонтував декілька повідомлених про помилки у новому та вдосконаленому браузері Edge Microsoft. Кількість зареєстрованих збоїв на диво навіть більша, ніж Internet Explorer, що піддається переліку 11 недоліків. MS16-145 вирішує ці критичні проблеми.

• П'ять звичних недоліків двигуна сценаріїв.
• Два помилки з пошкодженням пам'яті.
• Обхід функції безпеки.

MS16-146

MS16-146 прагне виправити критичні вразливості віддаленого виконання коду в Microsoft Graphics Component Windows. Крім того, він виправляє недолік у розкритті інформації про GDI Windows. Про всі ці вразливості повідомляється приватно. Патч повинен замінити оновлення графічного компонента минулого місяця для всіх систем Windows 10 та Server 2016.

Це також другий патч для Windows Security Only або оновлення «згортання» за цей місяць.

MS16-147

MS16-147 випускається виключно для вирішення постійної відповідальності в Windows Uniscribe. Кажуть, що помилка запускає сценарій віддаленого виконання коду. Тобто, якщо користувачі відвідують спеціально створений веб-сайт або відкривають спеціально створений документ. Це звичайно те, що ми не бачимо щомісяця.

Для тих, хто не знає, компонент Uniscribe - це сукупність API, призначених для обробки типографії в Windows для різних мов.

MS16-148

MS16-148 випускається для вирішення безлічі вразливих місць виконання віддаленого коду. 16 недоліків із приватними вписами зберігаються в Microsoft Office. Тяжкість глюків може бути визначена тим фактом, що якщо їх не змінити, вони можуть призвести до сценарію віддаленого виконання коду в цільовій системі. Ось список глюків:

• Чотири помилки з пошкодженням пам'яті.
• Проблема бічного завантаження Office OLE DLL.
• Помилка, яка розкриває критичну інформацію про GDI разом з кількома іншими.

MS16-154

Патч MS16-154 - це обгортка і усуває найважливіші недоліки вбудованого програвача Adobe Flash Player. Це потенційно найнебезпечніше питання, якщо залишити без змін. Кажуть, щоб вирішити 17 проблем, включаючи одну недоліку, яка наразі працює в дикій природі. Microsoft напрочуд запропонувала пом'якшуючий фактор для цієї проблеми. Це дивно, тому що компанія зазвичай ніколи цього не робить. Вирішення проблеми полягає в тому, щоб видалити Flash повністю.

Отримано повідомлення про вразливість до нульового дня, що вдалося поставити під загрозу 32-бітні системи Internet Explorer. Отже, це критичне оновлення "Patch Now".

Він адресує:

• Чотири помилки переповнення буфера.
• П’ять проблем із пошкодженням пам'яті, які потенційно можуть спричинити віддалене виконання коду.

Позначено як "Важливо":

MS16-149

Патч випущений для вирішення двох проблем із приватним повідомленням у Windows.

• Недолік розкриття криптоінформації Windows, що включає обробку об'єктів у пам'яті.
• Помилка, яка призводить до підвищення привілеїв у компоненті криптографії Windows.

MS16-149 буде додано до цього місяця накопичення безпеки.

MS16-150

Це оновлення безпеки для єдиної вразливості, про що повідомляється приватно. MS16-150 стосується постійної проблеми Windows Kernel, яка може поставити під загрозу привілеї користувачів. В основному це викликано неправильним поводженням об'єктів у пам'яті.

MS16-151

MS16-151 намагається капітально відремонтувати пару неповнолітніх помилок. Кожен з приватних повідомлень і, за оцінками, завдає мінімальної шкоди. Один з них пов'язаний з вадою Win32k EoP в драйверах режиму ядра Windows. Інша проблема, яку він вирішує, - це графічний компонент Windows, який керує об'єктами в пам'яті.

MS16-152

MS16-152 - це патч безпеки для ядра Windows і спрямований на вирішення виключної відповідальності. Це вразливість приватного типу в ядрі Windows, яка стосується лише систем Windows 10 та Server 2016. Відомо, що помилка викликає розкриття інформації, в гіршому випадку. Цей патч буде постачатися разом із щомісячним згортанням Windows.

MS16-153

Цей патч вирішує єдину проблему розкриття інформації, також заявлену приватно. Помилка зберігається в підсистемі драйверів Windows, ініціюється оновленням загальної файлової системи журналу (CLFS).

MS16-155

MS16-155 відновлює відповідальність за рамки.NET. Microsoft зазначила, що помилка публічно розкривається, але не використовується. Це потенційно менша вразливість до ризику та має власний пакет оновлень. Таким чином, його не вдалося включити до системи якості та безпеки Windows.

Цього достатньо, що вам потрібно знати про кожне оновлення безпеки цього фінального вівторка Patch цього року. Тож до наступного року Happy Patching.

Пов’язані історії, які слід прочитати:

• Патч безпеки Windows 10 червня містить величезні виправлення для IE, Edge, Flash Player та ОС Windows
• Сукупне оновлення Windows 10 Mobile виправляє деякі відомі проблеми та покращує загальну продуктивність
• Проблема безпеки, яку оприлюднив Google, виправлена ​​в Microsoft
• Windows 7 KB3205394 виправляє основні вразливі місця безпеки, встановіть його зараз