Microsoft w marcu wydał 5 biuletynów. Dwa z nich oznaczone zostały, jako krytyczne, pozostałe trzy z nich jako ważne. Wykryte luki pozwalają na zdalne wykonanie kodu (2 luki), podniesienie uprawnień (1 luka) oraz na obejście funkcji zabezpieczeń (2 luki).
Wydane biuletyny naprawiają luki w oprogramowaniu:Microsoft Windows (4 biuletyny), Internet Explorer (1 biuletyn) oraz Microsoft Silverlight (1 biuletyn).
Poniżej przedstawiamy szczegóły wydanych biuletynów w kolejności ważności.
Id Biuletynu: MS14-012
Tytuł biuletynu: Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (2925418)
Opis: Aktualizacja zabezpieczeń usuwa luki w przeglądarce Internet Explorer, w tym jedną lukę publiczną. Luki pozwalają na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web za pomocą przeglądarki Internet Explorer. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżący użytkownik. Użytkownicy pracujący na kontach z ograniczonymi uprawnieniami w systemie ponoszą mniejsze skutki ataku, niż użytkownicy pracujący na kontach z uprawnieniami administracyjnymi.
Wskaźnik ważności: krytyczna
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows, Internet Explorer
Id Biuletynu: MS14-013
Tytuł biuletynu: Luka w zabezpieczeniach programu Microsoft DirectShow pozwala na zdalne wykonanie kodu (2929961)
Opis: Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka pozwala na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik z obrazkiem. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżący użytkownik. Użytkownicy pracujący na kontach z ograniczonymi uprawnieniami w systemie ponoszą mniejsze skutki ataku, niż użytkownicy pracujący na kontach z uprawnieniami administracyjnymi.
Wskaźnik ważności: krytyczna
Wpływ luki: zdalne wykonanie kodu
Wymagania dotyczące ponownego uruchomienia: może wymagać ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS14-015
Tytuł biuletynu: Podatność w jądrze Windows – Tryb sterownika pozwala na podniesienie uprawnień (2930275)
Opis: Aktualizacja zabezpieczeń usuwa dwie luki, w tym jedną publiczną w zabezpieczeniach systemu Microsoft Windows. Najpoważniejsza luka pozwala na podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację. Osoba atakująca musi dysponować prawidłowymi danymi logowania oraz musi zalogować się lokalnie w celu wykorzystania tej luki w zabezpieczeniach.
Wskaźnik ważności: ważna
Wpływ luki: podniesienie uprawnień
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS14-016
Tytuł biuletynu: Luka w zabezpieczeniach protokołu SAMR (Security Account Manager Remote) umożliwia pominięcie funkcji zabezpieczeń (2934418)
Opis: Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka pozwala na obejście funkcji zabezpieczeń, jeśli osoba atakująca wykona wiele prób logowania w celu dopasowania hasła do nazwy użytkownika.
Wskaźnik ważności: ważna
Wpływ luki: obejście funkcji zabezpieczeń
Wymagania dotyczące ponownego uruchomienia: wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Windows
Id Biuletynu: MS14-014
Tytuł biuletynu: Luka w zabezpieczeniach Silverlight pozwala na obejście funkcji zabezpieczeń (2932677)
Opis: Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach programu Microsoft Silverlight. Luka pozwala na obejście funkcji zabezpieczeń, jeśli osoba atakująca stworzy specjalną stronę internetową z spreparowanymi treściami wykorzystującymi technologię Silverlight, a następnie przekona użytkownika do odwiedzenia tej witryny. Osoba atakująca nie ma możliwości, aby zmusić użytkownika do odwiedzenia niebezpiecznej strony internetowej, jedyne co może zrobić to zachęcić do kliknięcia na link w wiadomości e-mail lub za pomocą komunikatora, który przekieruje do witryny osoby atakującej. Istnieje również możliwość wyświetlenia spreparowanej zawartości sieci Web z wykorzystaniem reklam banerowych lub innych metod pozwalających na dostarczenie szkodliwych treści na stronach internetowych.
Wskaźnik ważności: ważna
Wpływ luki: obejście funkcji zabezpieczeń
Wymagania dotyczące ponownego uruchomienia: nie wymaga ponownego uruchomienia
Dotyczy oprogramowania: Microsoft Silverlight
źródło: Microsoft Security TechCenter
