W grudniu zostało wydanych aż 11 biuletynów zabezpieczeń, w tym 5 oznaczonych, jako krytyczne, pozostałe 6 jako ważne. Ponad 50% z nich dotyczy luki pozwalającej na zdalne wykonanie kodu, 3 kolejne pozwalają podnieść uprawnienia oraz po jednej dotyczących ujawnienia informacji i obejścia funkcji zabezpieczeń.
Biuletyny naprawiają błędy w oprogramowaniu: Microsoft Windows (6 biuletynów), Microsoft Office (3 biuletyny),Internet Explorer (1 biuletyn), Microsoft Lync (1 biuletyn),Microsoft Exchange (1 biuletyn), Microsoft SharePoint (1 biuletyn) oraz Microsoft Developer Tools (Narzędzia programistyczne firmy Microsoft – 1 biuletyn).
Poniżej przedstawiamy wydane biuletyny w kolejności ważności.
Id Biuletynu: MS13-096
Tytuł biuletynu: Luka w komponencie graficznym firmy Microsoft pozwalają na zdalne wykonanie kodu (2908005)
Opis: Aktualizacja zabezpieczeń usuwa ujawnioną publicznie lukę w zabezpieczeniach produktów Microsoft Windows, Microsoft Office oraz Microsoft Lync. Luka pozwala na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną zawartość pliku TIFF.
Wskaźnik ważności: krytyczny
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows, Microsoft Office, Microsoft Lync
Id Biuletynu: MS13-097
Tytuł biuletynu: Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (2898785)
Opis: Aktualizacja zabezpieczeń usuwa siedem zgłoszonych przez użytkowników luk w zabezpieczeniach programu Internet Explorer. Najpoważniejsza z luk pozwala na zdalne wykonanie kodu, jeśli użytkownik uruchomi specjalnie spreparowaną stronę przy użyciu programu Internet Explorer. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżący użytkownik. Użytkownicy pracujący na kontach z ograniczonymi uprawnieniami w systemie ponoszą mniejsze skutki ataku, niż użytkownicy pracujący na kontach z uprawnieniami administracyjnymi.
Wskaźnik ważności: krytyczny
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows, Internet Explorer
Id Biuletynu: MS13-098
Tytuł biuletynu: Luka w zabezpieczeniach systemu Windows pozwala na zdalne wykonanie kodu (2893294)
Opis: Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka ta pozwala na zdalne wykonanie kodu, jeśli użytkownik lub działająca aplikacja zainstaluje specjalnie spreparowany podpisany przenośny plik wykonywalny (PE) w systemie narażonym na tę usterkę.
Wskaźnik ważności: krytyczny
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS13-099
Tytuł biuletynu: Luka w zabezpieczeniach programu Microsoft Scripting Runtime Library Object pozwala na zdalne wykonanie kodu (2909158)
Opis: Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka ta pozwala na zdalne wykonanie kodu, gdy osoba atakująca przekona użytkownika do odwiedzenia specjalnie spreparowanej strony internetowej zawierającej specjalnie spreparowaną treść. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżący użytkownik. Użytkownicy pracujący na kontach z ograniczonymi uprawnieniami w systemie ponoszą mniejsze skutki ataku, niż użytkownicy pracujący na kontach z uprawnieniami administracyjnymi.
Wskaźnik ważności: krytyczny
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS13-100
Tytuł biuletynu: Luki w zabezpieczeniach programu Microsoft SharePoint Server pozwalają na zdalne wykonanie kodu (2904244)
Opis: Aktualizacja zabezpieczeń usuwa kilka luk w oprogramowaniu serwera Microsoft Office . Luki te pozwalają na zdalne wykonanie kodu, gdy uwierzytelniona osoba atakująca wyśle specjalnie spreparowaną zawartość strony na serwerze programu SharePoint. Osoba atakująca, której uda się wykorzystać te luki może uruchomić dowolny kod w kontekście zabezpieczeń konta usługi W3WP na atakowanej witrynie programu SharePoint.
Wskaźnik ważności: ważna
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft SharePoint
Id Biuletynu: MS13-101
Tytuł biuletynu: Luki w zabezpieczeniach sterowników trybu jądra pozwalają na podniesienie uprawnień (2880430)
Opis: Aktualizacja zabezpieczeń usuwa pięć luk w systemie Microsoft Windows. Najpoważniejsza z luk pozwala na podniesienie uprawnień, jeżeli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację. Osoba atakująca musi dysponować prawidłowymi danymi logowania oraz musi zalogować się lokalnie w celu wykorzystania tej luki w zabezpieczeniach.
Wskaźnik ważności: ważna
Wpływ luki: podniesienie uprawnień
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS13-102
Tytuł biuletynu: Luka w zabezpieczeniach klienta LRPC pozwala na podniesienie uprawnień (2898715)
Opis: Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka pozwala na podniesienie uprawnień, jeśli osoba atakująca fałszuje serwer LRPC oraz wysyła specjalnie spreparowany komunikat portu LPC do dowolnego klienta LRPC. Osoba atakująca, której uda się wykorzystać tę lukę może wówczas instalować programy, przeglądać, modyfikować i usuwać dane oraz tworzyć nowe konta z uprawnieniami administracyjnymi. Osoba atakująca musi posiadać prawidłowe dane logowania oraz musi zalogować się lokalnie, w celu wykorzystania możliwości oferowanych przez wykrytą lukę.
Wskaźnik ważności: ważna
Wpływ luki: podniesienie uprawnień
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS13-103
Tytuł biuletynu: Luka w zabezpieczeniach ASP.NET SignalR pozwala na podniesienie uprawnień (2905244)
Opis: Aktualizacja zabezpieczeń usuwa zgłoszoną przez użytkowników lukę w ASP.NET SignalR. Luka pozwala na podniesienie uprawnień, jeśli osoba atakująca odbija specjalnie spreparowany JavaScript do przeglądarki użytkownika.
Wskaźnik ważności: ważna
Wpływ luki: podniesienie uprawnień
Wymagania dotyczące ponownego uruchomienia: nie wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Developer Tools (Narzędzia programistyczne firmy Microsoft)
Id Biuletynu: MS13-104
Tytuł biuletynu: Luka w zabezpieczeniach programu Microsoft Office pozwala na ujawnienie informacji (2909976)
Opis: Aktualizacja zabezpieczeń usuwa zgłoszoną przez użytkowników lukę w zabezpieczeniach oprogramowania Microsoft Office, która pozwala na ujawnienie informacji, jeśli użytkownik spróbuje otworzyć plik pakietu Office na szkodliwej stronie internetowej. Osoba atakująca, której uda się wykorzystać lukę może ustalić tokeny dostępu używane do uwierzytelniania bieżącego użytkownika programu SharePoint lub stronie serwera Microsoft Office.
Wskaźnik ważności: ważna
Wpływ luki: ujawnienie informacji
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Office
Id Biuletynu: MS13-105
Tytuł biuletynu: Luki w zabezpieczeniach programu Microsoft Exchange Server pozwalają na zdalne wykonanie kodu (2915705)
Opis: Aktualizacja zabezpieczeń usuwa trzy luki ujawnione publicznie i jedną lukę zgłoszoną w Microsoft Exchange Server. Najpoważniejsza z luk istnieje w funkcji przeglądania dokumentów WebReady i funkcji zapobiegającej utracie danych z Microsoft Exchange Server. Luki te pozwalają na zdalne wykonanie kodu w kontekście zabezpieczeń konta usługi lokalnej, jeśli osoba atakująca wyśle wiadomość e-mail zawierającą specjalnie spreparowany plik użytkownikowi na podatny na atak program Exchange Server. Konto usługi lokalnej ma minimalne uprawnienia w systemie lokalnym i przedstawia anonimowe poświadczenia w sieci.
Wskaźnik ważności: krytyczna
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: nie wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Exchange
Id Biuletynu: MS13-106
Tytuł biuletynu: Luka w zabezpieczeniach pakietu Microsoft Office dla komponentu współdzielenia pozwala na obejście funkcji zabezpieczeń (2905238)
Opis: Aktualizacja zabezpieczeń usuwa ujawnioną publicznie lukę występującą w komponencie współdzielenia programu Microsoft Office. Luka pozwala na obejście funkcji zabezpieczeń, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web w przeglądarce obsługującej składniki modelu COM, tak jak Internet Explorer. Osoba atakująca, której uda się wykorzystać tę lukę może ominąć funkcję bezpieczeństwa losowego rozkładu przestrzeni adresowej (ASLR), która pomaga chronić użytkowników przed lukami w zabezpieczeniach. Obejście zabezpieczeń samych w sobie nie umożliwia wykonania dowolnego kodu, jednak w połączeniu z innymi lukami podatnymi na zdalne wykonanie kodu, pozwalają na jego uruchomienie.
Wskaźnik ważności: ważna
Wpływ luki: obejście funkcji zabezpieczeń
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Office
źródło: Microsoft Security TechCenter
