Компания Microsoft выпустила набор обновлений для своих продуктов, исправив в них 71 уязвимость. Всего было выпущено восемь Critical-обновлений (рекордное для одного месяца количество) и четыре обновления со статусом Important. Обновлением MS15-127 компания исправила опасную уязвимость в Windows Server 2008+ с идентификатором CVE-2015-6125. Уязвимость use-after-free присутствовала в компоненте службы DNS-сервера (Dns.exe) и позволяла атакующим удаленно исполнять код с высокими правами в системе (LocalSystem) через отправку на сервер специальным образом сформированного DNS-запроса.
Исправлению также подверглись две уязвимости в драйвере win32k.sys и пакете Office, которые находятся на стадии активной эксплуатации злоумышленниками. Первая CVE-2015-6175 используется атакующими для получения прав SYSTEM в Windows, а вторая CVE-2015-6175 для удаленного исполнения кода с использованием специальным образом сформированного файла Office.
Обновление MS15-124 исправляет тридцать различных уязвимостей в веб-браузере Internet Explorer, большинство этих уязвимостей относятся к типу Remote Code Execution и могут быть использованы атакующими для удаленного исполнения кода через специальным образом сформированную веб-страницу. Обновлению подлежат все версии IE 7-11. Critical.
Обновление MS15-125 исправляет 15 уязвимостей в веб-браузере Edge, которые также могут использоваться атакующими для удаленного исполнения кода в системе через браузер. Одна из уязвимостей CVE-2015-6161 может быть использована атакующими для обхода ASLR. Critical.
Обновление MS15-126 исправляет две уязвимости в движках JScript (jscript.dll) и VBScript (vbscript.dll) на Windows Vista, которые используются Internet Explorer для работы с JavaScript и Visual Basic Scripting. Удаленное исполнение кода возможно через веб-страницу со специальным содержимым, либо через документ Office с вредоносным содержимым ActiveX. Critical.
Обновление MS15-128 исправляет три уязвимости в драйвере win32k.sys, системных библиотеках Gdiplus.dll, Advapi32.dll, Kernel32.dll, Ole32.dll, а также в ПО .NET Framework для всех ОС Windows Vista+. Уязвимости позволяют атакующим удаленно исполнить код в системе с использованием специальных файлов шрифтов, а также в таких продуктах как Skype for Business 2016, Microsoft Lync 2013, Microsoft Lync 2010, Office 2007, Office 2010. Critical.
Обновление MS15-129 исправляет три RCE и Information Disclosure уязвимости в платформе Silverlight 5, плагин для которой работает в современных веб-браузерах для проигрывания мультимедийного содержимого.Такое содержимое может использоваться злоумышленниками для исполнения вредоносного кода с использованием указанных уязвимостей. Critical.
Обновление MS15-130 исправляет одну RCE-уязвимость в компоненте Uniscribe (Usp10.dll) на Windows 7. Уязвимость позволяет атакующим удаленно исполнить код в системе с использованием вредоносного файла шрифтов, размещенного на веб-странице. Critical.
Обновление MS15-135 исправляет 4 уязвимости типа Local Privilege Escalation в драйвере win32k.sys и системных библиотеках на всех ОС Windows Vista+. Уязвимости могут использоваться атакующими для повышения своих привилегий в системе до уровня SYSTEM и несанкционированного запуска кода режима ядра. Important.
Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
technet.microsoft.com/library/security/ms15-dec