13.11.2012 г. корпорацией Microsoft выпущена очередная порция обновлений безопасности для всех программных продуктов. Пакет состоит из 6 бюллетеней безопасности и устраняет 17 уязвимостей в Windows, Office, Internet Explorer, Microsoft IIS и .NET Framework.
5 бюллетеней описывают уязвимости, основанные на удаленном выполнении кода, при чём 4 из них делают это возможным без ведома пользователя. В этом месяце впервые выпущены хотфиксы для закрытия критических уязвимостей в новейшей операционной системы Windows 8, причём уязвимости те же, что и в других ОС. Это говорит о том, что новые ОС не пишутся с нуля, а используют общие компоненты. Накопительное обновление MS12-071 для Internet Explorer закрывает 3 критических уязвимости в объектах CFormElement, CTreePos и CTreeNode. Неконтролируемые переменные целочисленного типа в компоненте Windows Briefcase стали причиной двух критических уязвимостей (CVE-2012-1527 и CVE-2012-1528) во всех версиях версиях Windows, кроме серверных, где компонент Windows Briefcase отсутствует. Кумулятивное обновление MS12-074 для библиотек .NET Framework исправляет 5 уязвимостей. Уязвимость CVE-2012-4776 связана с выполнением произвольного JavaScript-кода из-за обнаруженной ошибки при получении настроек web-прокси. 3 уязвимости найдены и исправлены в драйверах ядра ОС Windows, две из которых могут использоваться для повышения полномочий, а одна (CVE-2012-2897) делает возможным удаленное выполнение кода в результате ошибки обработки TrueType-шрифтов. Среди офисных компонентов Microsoft Office в этот раз удар пришелся на Excel, в нем были исправлены 4 уязвимости, позволяющих выполнить вредоносный код при открытии умышленно сформированных документов. И наконец последний, менее опасный бюллетень безопасности MS12-073, описывает возможность компрометации данных в Microsoft IIS. Уязвимость CVE-2012-2531 связана с утечкой паролей из журнала событий, а CVE-2012-2532 позволяет выполнить определенные команды FTP при переключении сеанса на TLS-протокол.
Все хотфиксы доступны через систему автоматического обновления, а также для автономной загрузки с серверов Microsoft. Учитывая критических характер исправляемых уязвимостей, обновления рекомендуется установить в кратчайшие сроки.
Для пользователей вечно живой Windows XP выпущены кумулятивные сборники, скачать которые вы можете на форуме: Наборы обновлений для Windows XP/2003/Windows 7.