Microsoft сегодня сообщила, что в январе на предстоящей неделе выпустит семь бюллетеней по безопасности, устраняющих восемь ранее обнаруженных уязвимостей. Выпуск исправлений ожидается вечером 10 января.
Согласно описанию Microsoft, один из заявленных семи бюллетеней имеет критическую степень опасности, остальные обозначены, как "важные". Напомним, что шкала критичности багов у Microsoft имеет 4-уровневую структуру - критически опасные и важные уязвимости - это первая и вторая степень опасности. Относительно новых багов Microsoft отмечает, что три из них допускают операцию по удаленному исполнению программного кода, то есть потенциально они позволяют злоумышленникам вторгаться и похищать данные с незащищенных систем.
Еще один баг имеет довольно экзотическую природу - он позволяет обходить ряд системных функций безопасности и направлен именно на их атаку. В Microsoft Security Response Center говорят, что данный баг имеет уникальную природу и прежде похожих уязвимостей в продуктах компании не было. В то же время, для того, чтобы использовать данный баг, злоумышленник вначале должен проникнуть на компьютер при помощи другого эксплоита, что делает атаку технически довольно сложной.
По неофициальной информации, так называемый SBF-баг (security bypass feature) связан с системой Microsoft SEHOP, предназначенной для обеспечения безопасности работы устаревших приложений. Сама система SEHOP или Structured Exception Handler Overwrite Protection представляет собой разновидность анти-эксплоитной технологии, созданной для блокировки наиболее частых методов вторжений в систему. Впервые она появилась еще в 2009 году.
Более подробные данные об уязвимостях Microsoft опубликует на будущей неделе, после того, как клиентам станут доступны сами исправления.
Отметим, что на данный момент неизвестно, будут ли в январском наборе исправлений устранены уязвимости, обнаруженные в конце прошлого года и связанные с SSL 3.0 и TLS 1.0, активно эксплуатируемые создателями приложения BEAST (Browser Exploit Against SSL/TLS). Изначально планировалось их устранить еще в декабре, но производитель программного обеспечения SAP попросил об отсрочке из-за несовместимости исправлений со своими продуктами.