Предварительное уведомление по бюллетеням безопасности за декабрь 2011

В грядущий вторник компания Microsoft планирует выпустить 14 обновлений безопасности, устраняющих в общем счете 20 уязвимостей в Windows, Internet Explorer (IE), Office и Windows Media Player, включая патчи для Duqu и BEAST (Browser Exploit Against SSL/TLS).

"Они повсюду" - говорит Эндрю Штормс (Andrew Storms), директор по безопасности в nCircle Security, описывая широкий спектр продуктов Microsoft, которые попадут под обновление. "Это похоже на генеральную уборку, когда до конца года пытаешься сделать все, что можно".

Три из четырнадцати обновлений имеют статус критических, остальные одиннадцать - важных. Уязвимости в десяти обновлениях могут быть использованы злоумышленниками для удаленной атаки на уязвимые ПК, сообщается в предварительном уведомлении Microsoft.

В первую очередь Штормс рекомендует обратить внимание на обновление для IE.
"Декабрь отличается от других месяцев тем, что именно в этот месяц пользователи проводят в Сети больше времени, чем обычно, поскольку ищут друг другу подарки, но при этом мало кто из них захочет тратить время на установку патчей" - сказал Штормс.

Microsoft по определенным причинам выпускает патчи для IE не ежемесячно, а каждые два месяца. В данном случае Штормс поставил под сомнение логику данного решения. "Как известно, как только выходят патчи, время, необходимое на поиск эксплойта для уязвимости, значительно сокращается" - говорит он. "Так почему бы не выпустить патчи для IE в прошлом месяце?"

Критическое обновление, отмеченное номером 1, также должно быть установлено без промедления, заявил Маркус Кэри (Marcus Carey), исследователь безопасности из Rapid7. После анализа описания Кэри пришел к выводу, что данное обновление устраняет уязвимость Duqu, которую некоторые секьюрити-исследователи считают вторым пришествием червя Stuxnet, который в прошлом году саботировал иранскую программу обогащения уранового топлива.

"Основной причиной данной гипотезы является тот факт, что установка обновления требует перезагрузки, что указывает на отношение уязвимости к уровню ядра" - объясняет Кэри.

Штормс также ожидает, что в данном цикле обновления Microsoft устранит уязвимости в механизме парсинга TrueType и уязвимости в спецификациях SSL 3.0 и TSL 1.0 в Windows, описание которой появилось еще в сентябрьском предварительном уведомлении.

Через несколько часов после публикации предварительного уведомления Джерри Брайант (Jerry Bryant), менеджер группы Trustworthy Computing Group в Microsoft, подтвердил, что в грядущем цикле обновления Microsoft действительно устранит уязвимости Duqu и BEAST.

"Мы можем подтвердить, что проблемы, описанные в предварительном уведомлении 2588513 и 2639658, будут решены в декабрьском цикле обновлений для системы безопасности" - подтвердил Брайант.

В текущем году количество бюллетеней за составило 100 штук, что на 5,6% меньше, чем в 2010 году, а общее число уязвимостей, устраняемых данными обновлениями, снизилось на 10,7% до 237 штук.


Источник: http://www.computerworld.com
Перевод: Really Fenix