С 2016 г. почти достигна заминаването си, Microsoft пусна последната си актуализация за Patch Tuesday за годината. Тази актуализация има най-голям брой актуализации за сигурност, пуснати в един патч. Той разполага с шест критични лепенки, като останалите шест са оценени като важни. Той обхваща 34 отделни недостатъци, всички от които, ако се използват, могат да доведат до отдалечено изпълнение на код. Затова се подгответе за рестартиране. Благоприятно е да не се забавя разгръщането на тези пластири. От три от тях се занимават с уязвимости, които са публично оповестени.

Критичните недостатъци са обяснени в бюлетини MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 и MS16-154. Твърди се, че преодолява чувствителността в Windows, Internet Explorer, Edge и Office. По-конкретно, проблемите на потребителите с Windows 10 бяха изправени при свързване към интернет след последната вълна от кръпки, освободени от Microsoft.

Маркирано като „критично“:

MS16-144

MS16-144 се освобождава за справяне с множество грешки в Internet Explorer. Той също така коригира няколко грешки, които са склонни да причинят течове на информация и един, който може да доведе до нарушаване на информацията в обектната библиотека на хипервръзка. Този пластир ще бъде включен в месечната актуализация на сигурността за декември за Windows.

Ето публично оповестените недостатъци

• CVE-2016-7282 - уязвимост за разкриване на информация в браузъра на Microsoft.
• CVE-2016-7281 - функцията за защита на браузъра на Microsoft, байпас.
• CVE-2016-7202 - аномалия за корупция в паметта на сценарист.

Тази актуализация е оценена като „Patch Now“, главно поради тежестта на проблема, който е определен да отстрани. MS16-144 ще бъде приложен към всички поддържани в момента версии на IE.

MS16-145

MS16-145 преправя няколко от отчетените грешки в браузъра на Microsoft "нов и подобрен" Edge. Броят на докладваните бъгове е изненадващо дори повече от Internet Explorer, който е подложен на 11 недостатъци. MS16-145 решава тези критични проблеми.

• Пет от обичайните недостатъци на сценариите на двигателя.
• Две от грешката в корупцията на паметта.
• Байпас на функция за защита.

MS16-146

MS16-146 има склонност да закърпи критичните уязвимости при отдалечено изпълнение на код в Microsoft Graphics Component на Windows. Нещо повече, той коригира недостатъка за разкриване на информация в GDI на Windows. Всички тези уязвимости се отчитат частно. Корекцията е да замени актуализацията на графичния компонент от миналия месец за всички Windows 10 и Server 2016 системи.

Това е и вторият кръпка за Windows Security Only или актуализация на „roll-up“ за този месец.

MS16-147

MS16-147 се освобождава единствено за справяне с постоянната отговорност в Windows Uniscribe. Казва се, че грешката създава сценарий за отдалечено изпълнение на код. Това е, ако потребителите посещават специално изработен уебсайт или отворят специално изработен документ. Това със сигурност е нещо, което не виждаме всеки месец.

За тези, които не знаят, компонентът Uniscribe е колекция от API, които са предназначени да обработват типография в Windows за различни езици.

MS16-148

MS16-148 се освобождава за справяне с изобилие от уязвимости при отдалечено изпълнение на код. 16-те грешки в частния текст са налице в Microsoft Office. Тежестта на проблемите може да се определи от факта, че ако не бъдат оставени, те биха могли да доведат до сценарий за отдалечено изпълнение на код в целевата система. Ето списъка с бъгове:

• Четири грешки в корупцията на паметта.
• Проблем със странично зареждане на Office OLE DLL.
• Грешка, която разкрива критична информация за GDI, заедно с няколко други.

MS16-154

Патчът MS16-154 е обвивка и отстранява решаващите недостатъци във вградения Adobe Flash Player. Това е потенциално най-опасният проблем, ако бъде оставен без връзка. Твърди се, че отстранява 17 проблема, включително един недостатък, който в момента работи в природата. Microsoft изненадващо предложи смекчаващ фактор за този проблем. Удивително е, защото компанията никога не прави това. Решението е да деинсталирате Flash напълно.

Получени са доклади относно уязвимостта за нулев ден, които успяха да компрометират 32-битовите системи на Internet Explorer. Това е критична актуализация на „Patch Now“.

Той адресира:

• Четири бъгъра за препълване на буфер.
• Пет проблема с корупцията в паметта, които потенциално могат да причинят отдалечено изпълнение на код.

Маркирано като „Важно“:

MS16-149

Пачът се освобождава, за да разреши два проблема с частен доклад в Windows.

• Пропуск в разкриването на крипто информация за Windows, който включва обработка на обекти в паметта.
• Грешка, която води до повишаване на привилегията в компонента за криптография на Windows.

MS16-149 ще бъде добавен към този месец за сигурност.

MS16-150

Това е актуализация на защитата за единствена уязвимост, докладвана частно. MS16-150 се отнася до постоянния проблем на Windows Kernel, който може да компрометира потребителските привилегии. Причинява се основно от неправилно боравене с обекти в паметта.

MS16-151

MS16-151 се опитва да преработи няколко малки грешки. Всеки частно докладван и се изчислява, че причинява минимална вреда. Единият е свързан с недостатъка на Win32k EoP в драйверите за режим на Windows Kernel. Другият проблем, който адресира, е графичният компонент на Windows, неправилно боравене с обекти в паметта.

MS16-152

MS16-152 е патч за сигурност за Windows Kernel и има за цел да се справи с изключителна отговорност. Това е частна уязвимост в Windows Kernel, която засяга само Windows 10 и Server 2016. Известно е, че бъгът причинява разкриване на информация в най-лошия случай. Този пластир ще бъде в комплект с месечното навигация на Windows.

MS16-153

Този пластир разрешава един проблем за разкриване на информация, също заявен частно. Грешката продължава да съществува в подсистема на драйвер за Windows, задействана от актуализиране на Общата файлова система (CLFS).

MS16-155

MS16-155 поправя отговорност за.NET Framework. Microsoft отбеляза, че бъгът се разкрива публично, но не се използва. Това е потенциално уязвима уязвимост и има свой собствен пакет за актуализиране. Следователно, тя беше пощадена от включването в списъка за качество и сигурност на Windows.

Това е достатъчно, което трябва да знаете за всяка актуализация на сигурността на тазгодишния последен патч вторник. Така че до следващата година, Happy Patching.

Свързани истории, които трябва да прочетете:

• Windows 10 юни Security Patch съдържа огромни поправки за IE, Edge, Flash Player и Windows OS
• Натрупаната актуализация на Windows 10 Mobile коригира някои известни проблеми и подобрява цялостната производителност
• Публикуван от Google недостатък в сигурността, заложен от Microsoft
• Windows 7 KB3205394 кръпва основните уязвимости в сигурността, инсталирайте го сега