Microsoft выпустила партию важных обновлений для IE и Edge

Большинство из исправленных багов позволяло злоумышленникам получить удаленный доступ к персональному компьютеру пользователя. Эксперты предполагают, что аналогичные уязвимости все еще могут оставаться в браузере, но из-за прекращения поддержки такие баги больше исправляться не будут.

В рамках традиционного вторника исправлений Microsoft выпустила сразу несколько бюллетеней безопасности. На некоторых из них мы остановимся подробнее. Бюллетень MS16-001 содержал в себе заплатки для двух очень серьезных уязвимостей. Первая из них возникла из-за ошибки в движке VBScript. Этот баг приводит к нарушению функций памяти, за счет чего злоумышленник может получить доступ к чужому ПК и удаленно выполнить на нем произвольный код. Вторая уязвимость касается привилегий выполняемых операций. Для эксплуатации данных дыр мошенники должны особым образом сформировать отдельную ссылку на вредоносный сайт и отправить ее пользователю. При ее открытии на ПК загружается вредоносное ПО.

Еще один бюллетень, MS16-003, тоже устранил уязвимость, связанную со скриптовым движком VBScript.

Самым важным бюллетенем в данном пакете обновлений оказался MS16-004. Прежде всего он касается Microsoft Office, но такие же ошибки имеются и в других продуктах. Исправленные уязвимости позволяли обойти ограничения безопасности и открыть удаленный доступ к ПК.

Еще один бюллетень MS16-002 касается браузера Microsoft Edge. В ем тоже уже обнаруживаются уязвимости, которые требуют срочных исправлений. В бюллетене содержатся заплатки для двух дыр, позволяющих скомпрометировать систему. Одна из них вызвана некорректной работой памяти, другая возникла из-за неисправности JavaScript-движка Chakra.