Microsoft o’z mahsulotlari uchun yangilanishlar to’plamini chiqardi, ulardagi 71 ta zaiflikni tuzatdi. Hammasi bo’lib sakkizta muhim yangilanish (bir oy uchun rekord raqam) va Muhim maqomga ega to’rtta yangilanish chiqarildi. MS15-127 yangilanishi bilan kompaniya CVE-2015-6125 identifikatori bilan Windows Server 2008+ da xavfli zaiflikni tuzatdi. Foydalanishdan keyin bepul zaiflik DNS server xizmat komponentida (Dns.exe) mavjud edi va buzg’unchilarga serverga maxsus tayyorlangan DNS so’rovini yuborish orqali tizimda (LocalSystem) yuqori huquqlarga ega bo’lgan kodni masofadan turib bajarish imkonini berdi.
Tuzatish shuningdek, tajovuzkorlar tomonidan faol ekspluatatsiya qilish bosqichida bo’lgan win32k.sys drayveri va Office paketidagi ikkita zaiflikka ta’sir qildi. Birinchi CVE-2015-6175 tajovuzkorlar tomonidan Windows tizimida TIZIM huquqlarini olish uchun ishlatiladi, ikkinchi CVE-2015-6175 esa maxsus yaratilgan Office fayli yordamida kodni masofadan turib bajarish uchun ishlatiladi.
MS15-124 yangilanishi Internet Explorer veb-brauzeridagi o’ttiz xil zaiflikni tuzatadi, bu zaifliklarning aksariyati masofaviy kodni bajarish turiga kiradi va tajovuzkorlar tomonidan maxsus yaratilgan veb-sahifa orqali kodni masofadan bajarish uchun ishlatilishi mumkin. IE 7-11 ning barcha versiyalari yangilanishi kerak. Tanqidiy.
MS15-125 yangilanishi Edge veb-brauzeridagi 15 ta zaifliklarni tuzatadi, ulardan tajovuzkorlar brauzer orqali tizimdagi kodni masofadan turib bajarish uchun ham foydalanishi mumkin. CVE-2015-6161 zaifliklaridan biri buzg’unchilar tomonidan ASLRni chetlab o’tish uchun ishlatilishi mumkin. Tanqidiy.
MS15-126 yangilanishi Windows Vista’da JScript (jscript.dll) va VBScript (vbscript.dll) dvigatellaridagi ikkita zaiflikni tuzatadi, ular Internet Explorer tomonidan JavaScript va Visual Basic skriptlari bilan ishlashda foydalaniladi. Masofadan kodni bajarish maxsus tarkibga ega veb-sahifa yoki zararli ActiveX kontentiga ega Office hujjati orqali mumkin. Tanqidiy.
MS15-128 yangilanishi win32k.sys drayveri, tizim kutubxonalari Gdiplus.dll, Advapi32.dll, Kernel32.dll, Ole32.dll va barcha Windows Vista+ operatsion tizimlari uchun .NET Framework dasturidagi uchta zaiflikni tuzatadi. Zaifliklar tajovuzkorlarga maxsus shrift fayllari yordamida tizimda, shuningdek Skype for Business 2016, Microsoft Lync 2013, Microsoft Lync 2010, Office 2007, Office 2010 kabi mahsulotlarda kodni masofadan turib bajarish imkonini beradi. Kritik.
MS15-129 yangilanishi Silverlight 5 platformasidagi RCE va Axborotni oshkor qilishning uchta zaifligini tuzatadi, bu plagin multimedia kontentini o‘ynash uchun zamonaviy veb-brauzerlarda ishlaydi.Bunday kontentdan tajovuzkorlar ushbu zaifliklardan foydalangan holda zararli kodni ishga tushirish uchun foydalanishi mumkin. Tanqidiy.
MS15-130 yangilanishi Windows 7 da Uniscribe komponentidagi (Usp10.dll) bitta RCE zaifligini tuzatadi. Zaiflik tajovuzkorlarga veb-sahifada joylashtirilgan zararli shrift fayli yordamida tizimdagi kodni masofadan turib bajarish imkonini beradi. Tanqidiy.
MS15-135 yangilanishi barcha Windows Vista+ operatsion tizimlaridagi win32k.sys drayveri va tizim kutubxonalaridagi 4 ta Mahalliy imtiyozlarni kuchaytirish zaifligini tuzatadi. Zaifliklar tajovuzkorlar tomonidan tizimdagi o’z imtiyozlarini TIZIM darajasiga ko’tarish va yadro rejimi kodini ruxsatsiz bajarish uchun foydalanishi mumkin. muhim.
Biz foydalanuvchilarga yangilanishlarni imkon qadar tezroq o’rnatishni tavsiya qilamiz va agar siz hali buni qilmagan bo’lsangiz, Windows Update yordamida yangilanishlarni avtomatik yetkazib berishni yoqing (bu parametr sukut bo’yicha yoqilgan).
technet.microsoft.com/library/security/ms15-dec