По запланированному графику, во второй вторник месяца, Microsoft выпустила декабрьские обновления безопасности для своих программных продуктов – операционных систем Windows, браузера Internet Explorer, пакета Microsoft Office и почтового сервера Exchange. Обновления описываются 7 бюллетенями безопасности, устраняющими 11 уязвимостей.

Шесть бюллетеней исправляют проблему с возможностью удаленного выполнения программого кода, пять из них предполагают проведение атаки без участия пользователя. Самые опасные уязвимости описаны в бюллетене MS12-078. Они связаны с обработкой OpenType (CVE-2012-2556) и TrueType-шрифтов (CVE-2012-4786) и представляют критическую опасность для всех версий ОС Windows, так как используют ошибки в драйвере ядра операционных систем, что делает возможным проведение атаки с выполнением произвольного кода или повышение уровня привилегий текущего пользователя. Не менее опасную брешь CVE-2012-4774 в операционных системах до Windows RT/8 и Server 2012 описывает бюллетень MS12-081. Уязвимость даёт злоумышленнику практически неограниченные возможности по выполнению программного кода через определённым образом сформированное имя директории или файла. Следующий бюллетень безопасности MS12-079 предотвращает возможность выполнения произвольного кода, используя специально сформированный RTF-файл (CVE-2012-2539). Проблема затрагивает как текстовые редакторы, встроенные в Windows, так и компоненты пакета Microsoft Office. Данная уязвимость является критической с повышенным уровнем угрозы, так как может быть задействована в автоматизированных вирусных атаках. Еще одну уязвимость с возможностью выполнения произвольного программного кода через ошибки в функциях библиотеки DirectPlay (CVE-2012-1537) закрывает бюллетень MS12-082. Кумулятивный фикс MS12-077 устраняет сразу 3 критические уязвимости в обозревателе Internet Explorer (CVE-2012-4781, CVE-2012-4782, CVE-2012-4787). Недоработки в проверке сертификатов компонентом IP-HTTPS стали причиной уязвимости CVE-2012-2549, описываемой в бюллетене безопасности MS12-083. Этой уязвимостью могут воспользоваться злоумышленники для компрометации пользователя средствами ОС Windows. В декабре так же выпущено накопительное обновление корневых сертификатов и обновление MS12-080 для почтового сервера Microsoft Exchange Server, устраняющее ранее обнаруженные уязвимости (CVE-2012-3214 и CVE-2012-3217) в библиотеках Oracle Outside In и предотвращающее отказ обслуживания из-за ошибок в обработке RSS-каналов (CVE-2012-4791). Обновления доступны через систему Автоматического обновления ОС и в центре загрузки Microsoft Download Center, а учитывая их критический статус, рекомендованы к установке в кратчайшие сроки.

Желающие скачать готовые сборники обновлений для различных операционных систем, могут сделать это на форуме Наборы обновлений для Windows XP/2003/Windows 7.