Microsoft планирует ещё одну массивную волну заплаток на ближайший
вторник этого месяца: 17 бюллетеней, исправляющих 40 уязвимостей в
системе безопасности.
Декабрьские патчи закроют дыры в Microsoft Windows, Office, Internet Explorer, SharePoint и Exchange. 2
из 17 бюллетеней имеют «критический» уровень важности, ещё 14 – просто
«важные». Закрываемым уязвимостям подвержены все версии операционных
систем Windows, в том числе и последние Windows 7 и Windows Server 2008
R2.
Microsoft сообщает, что последняя из 17 заплаток используется
для блокирования дыры, используемой печально известным червём Stuxnet –
повышение привелечгий через Windows Task Sheduler. Код эксплоита
является публичным и направлен против Windows Vista, 7 и Server 2008.
Обновления
текущего месяца станут последними в этом году. Общее их число за
двенадцать месяцев составило 106 штук – больше, чем когда-либо раньше.
Что же пишет Microsoft по этому поводу?
«Количество отчётов об
уязвимостях в продуктах Microsoft увеличилось незначительно, о чём
свидетельствует наш последний Security Intelligence Report. И это
неудивительно, если вы вспомните о жизненных циклах продуктов и
характере исследования уязвимостей. Сроки поддержки продукции Microsoft
составляют до 10 лет (одна из популярнейших операционных систем – XP SP2
– не поддерживается с середины 2010 года). Методологии исследования
уязвимостей в то же время изменяются и улучшаются постоянно. Старые
продукты подвержены новым методам атак, что связано с общим ростом
«рынка уязвимостей» и, соответственно, приводит к новым отчётам. Между
тем, процент уязвимостей, о которых нам сообщают, подолжает оставаться
на высоком уровне – около 80 процентов. Иными словами, для большей части
дыр мы можем выпустить нужное обновление системы безопасности до того,
как они станут достоянием общественности».