Microsoft w maju wydał 9 biuletynów. Trzy z nich zostały oznaczone jako krytyczne, zaś pozostałych sześć jako ważne. Spośród wykrytych luk cztery z nich pozwalają na zdalne wykonanie kodu, trzy na podniesienie uprawnień oraz po jednej luce na atak DoS oraz obejście zabezpieczeń.
Wydane biuletyny naprawiają luki w oprogramowaniu: Microsoft Windows (6 biuletynów), Internet Explorer (2 biuletyny), Microsoft Office (2 biuletyny), Microsoft Server (1 biuletyn) oraz Microsoft .NET Framework (1 biuletyn).
Poniżej przedstawiamy szczegóły wydanych biuletynów w kolejności ważności.
Id Biuletynu: MS14-021
Tytuł biuletynu: Aktualizacja zabezpieczeń dla programu Internet Explorer (2965111)
Opis: Aktualizacja zabezpieczeń usuwa jedną lukę publiczną w zabezpieczeniach przeglądarki Internet Explorer. Luka pozwala na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu zagrożonej wersji przeglądarki Internet Explorer. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżący użytkownik. Użytkownicy pracujący na kontach z ograniczonymi uprawnieniami w systemie ponoszą mniejsze skutki ataku, niż użytkownicy pracujący na kontach z uprawnieniami administracyjnymi.
Wskaźnik ważności: krytyczna
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows, Internet Explorer
Id Biuletynu: MS14-029
Tytuł biuletynu: Aktualizacja zabezpieczeń dla programu Internet Explorer (2962482)
Opis: Aktualizacja zabezpieczeń usuwa dwie luki w programie Internet Explorer. Luki te pozwalają na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu przeglądarki Internet Explorer. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżący użytkownik. Użytkownicy pracujący na kontach z ograniczonymi uprawnieniami w systemie ponoszą mniejsze skutki ataku, niż użytkownicy pracujący na kontach z uprawnieniami administracyjnymi.
Wskaźnik ważności: krytyczna
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows, Internet Explorer
Id Biuletynu: MS14-022
Tytuł biuletynu: Luki w zabezpieczeniach programu Microsoft SharePoint Server pozwalają na zdalne wykonanie kodu (2952166)
Opis: Aktualizacja zabezpieczeń usuwa zgłoszone przez użytkowników luki w zabezpieczeniach serwera Microsoft Office oraz oprogramowaniu wydajnościowym. Najpoważniejsza z luk pozwala na zdalne wykonanie kodu, jeśli osoba atakująca wyśle uwierzytelnioną specjalnie spreparowaną zawartość strony na docelowy serwer SharePoint.
Wskaźnik ważności: krytyczna
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Server, Oprogramowanie wydajnościowe
Id Biuletynu: MS14-023
Tytuł biuletynu: Luki w zabezpieczeniach pakietu Microsoft Office pozwalają na zdalne wykonanie kodu (2961037)
Opis: Aktualizacja zabezpieczeń usuwa dwie luki w zabezpieczeniach pakietu Microsoft Office. Najpoważniejsza luka pozwala na zdalne wykonanie kodu, jeśli użytkownik otworzy plik pakietu Office, który znajduje się w tym samym katalogu sieciowym, co specjalnie spreparowany plik biblioteki. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżący użytkownik. Użytkownicy pracujący na kontach z ograniczonymi uprawnieniami w systemie ponoszą mniejsze skutki ataku, niż użytkownicy pracujący na kontach z uprawnieniami administracyjnymi.
Wskaźnik ważności: ważna
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Office
Id Biuletynu: MS14-025
Tytuł biuletynu: Luka w zarządzaniu zasadami grupy pozwala na podniesienie uprawnień (2962486)
Opis: Aktualizacja zabezpieczeń usuwa publiczną lukę w zabezpieczeniach Microsoft Windows. Luka pozwala na podniesienie uprawnień, jeśli ustawienia zasad grupy usługi Active Directory wykorzystywane są do dystrybucji haseł w domenie – praktyka, która umożliwia osobie atakującej na pobieranie i odszyfrowanie hasła przechowywanego w ustawieniach zasad grupy.
Wskaźnik ważności: ważna
Wpływ luki: podniesienie uprawnień
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS14-026
Tytuł biuletynu: Luka w zabezpieczeniach .NET Framework pozwala na podniesienie uprawnień (2958732)
Opis: Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft .NET Framework. Luka pozwala na podniesienie uprawnień, jeśli nieuwierzytelniona osoba atakująca wyśle specjalnie spreparowane dane do podatnej na atak stacji roboczej, bądź serwera, który korzysta z .NET Remoting. .NET Remoting nie jest powszechnie używany przez aplikacje, więc tylko niestandardowe aplikacje, które zostały zaprojektowane do korzystania z .NET Remoting narażają system na tę lukę.
Wskaźnik ważności: ważna
Wpływ luki: podniesienie uprawnień
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows, Microsoft .NET Framework
Id Biuletynu: MS14-027
Tytuł biuletynu: Luka w zabezpieczeniach obsługi powłoki systemu Windows pozwala na podniesienie uprawnień (2962488)
Opis: Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka pozwala na podniesienie uprawnień, jeśli osoba atakująca uruchomi specjalnie spreparowaną aplikację, która korzysta z ShellExecute. Osoba atakująca musi dysponować prawidłowymi danymi logowania oraz musi zalogować się lokalnie w celu wykorzystania tej luki w zabezpieczeniach.
Wskaźnik ważności: ważna
Wpływ luki: podniesienie uprawnień
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS14-028
Tytuł biuletynu: Luka w zabezpieczeniach iSCSI pozwala na atak Denial of Service (2962485)
Opis: Aktualizacja zabezpieczeń usuwa dwie luki w zabezpieczeniach systemu Microsoft Windows. Luki pozwalają na odmowę dostępu do usługi (DoS), jeżeli osoba atakująca wyśle duże ilości specjalnie spreparowanych pakietów z wykorzystaniem sieci iSCI. Luka dotyczy wyłącznie serwerów, na których rola iSCSI została włączona.
Wskaźnik ważności: ważna
Wpływ luki: odmowa dostępu (ang. Denial of Service)
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS14-024
Tytuł biuletynu: Luka w kontroli wspólnej wersji Microsoft pozwala na obejście funkcji zabezpieczeń (2961033)
Opis: Aktualizacja zabezpieczeń usuwa lukę w implementacji biblioteki MSCOMCTL. luka pozwala na obejście funkcji zabezpieczeń, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web w przeglądarce internetowej obsługującej uruchamianie komponentów COM, jak na przykład Internet Explorer. Osoba atakująca, której uda się wykorzystać tę lukę, może ominąć losowy rozkład przestrzeni adresowej (ASLR) funkcji bezpieczeństwa, która pomaga chronić użytkowników przed lukami. Samo takie ominięcie nie pozwala na zdalne wykonanie kodu, jednak wykorzystanie tej luki w połączeniu z innymi lukami, podatnymi na zdalne wykonanie kodu powoduje, że dowolny kod może zostać uruchomiony.
Wskaźnik ważności: ważna
Wpływ luki: obejście zabezpieczeń
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Office
źródło: Microsoft Security TechCenter
