Google Chrome otrzymało aktualizację do wersji 46.0.2490.71. Poprawka naprawia wiele luk w zabezpieczeniach przeglądarki przeznaczonej dla systemów Windows, Mac i Linux. Wykorzystywanie niektórych z tych luk może pozwolić osobie atakującej zdalnie przejąć kontrolę nad atakowanym systemem. Odkrywcą jednej z krytycznej podatności CVE-2015-6755 (Cross-origin bypass in Blink) jest Polak Mariusz Młyński, znany z pokonywania zabezpieczeń Windows i Firefox.
Microsoft
Firma Microsoft wydała sześć aktualizacji dotyczących luk w systemie Microsoft Windows, z czego trzy oznaczono jako ważne, a kolejne trzy jako krytyczne.
Krytyczne podatności zlokalizowano w:
1. Przeglądarce Internet Explorer od wersji 7 do 11. Aktualizacje usuwają 15 luk, z których najpoważniejsze z nich mogą pozwolić osobie atakującej na zdalne wykonanie kodu z uprawnieniami bieżącego użytkownika, jeśli ten wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu programu Internet Explorer.
2. Skryptowych silnikach JScript i VBScript. Najpoważniejsza z luk może pozwolić na zdalne wykonanie kodu, jeśli atakujący zmusi ofiarę do otworzenia specjalnie spreparowanej strony WWW, która zawiera jeden z popularnych exploit packów przeznaczonych do pokonywania zabezpieczeń programu Internet Explorer. Osoba atakująca może również osadzić formant ActiveX w aplikacji lub w dokumencie pakietu Microsoft Office, który wykorzystuje silnik renderujący IE i skierować użytkownika na specjalnie spreparowaną stronę.
3. Powłoce Windows Shell. Ta aktualizacja usuwa luki w zabezpieczeniach systemu Microsoft Windows, które mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany obiekt paska narzędzi w systemie Windows lub atakujący przekona użytkownika do wyświetlenia specjalnie spreparowane treści w Internecie.
Podatności ważne występują w:
1. Przeglądarce Microsoft Edge. Ta aktualizacja usuwa luki w zabezpieczeniach programu Microsoft Edge, a najpoważniejsza z nich może pozwolić na ujawnienie prywatnych informacji, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu tej przeglądarki. Osoba atakująca, której uda się wykorzystać te luki, może uzyskać takie same uprawnienia, jak zalogowany użytkownik.
2. Pakiecie Microsoft Office. Ta aktualizacja usuwa luki w pakiecie biurowym Microsoft Office. Najpoważniejsza z nich może pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik programu Microsoft Office. Osoba atakująca, której uda się wykorzystać luki, może uruchomić dowolny kod w kontekście bieżącego użytkownika.
3. Jądrze systemowym Windows. Ta aktualizacja usuwa luki w zabezpieczeniach systemu Microsoft Windows. Najpoważniejsza z luk może umożliwić podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację.
Adobe
Firma Adobe wydała aktualizacje zabezpieczeń dla swoich programów: Adobe Reader, Adobe Acrobat i Adobe Flash Player dla systemów Windows i Macintosh. Dwie pierwsze aplikacje zawierały łącznie 56 podatności, które zostały już załatane. Z kolei jeden z najbardziej dziurawych produktów jaki kiedykolwiek istniał (Adobe Flash), zawierał ich 13. Powodzenie wykonania exploita i ominięcie zabezpieczeń SOP, pozwoliłoby osobie atakującej przejąć kontrolę nad atakowanym systemem.
