Обновление безопасности от Microsoft за ноябрь 2013 г. включает три критически важных бюллетеня и пять бюллетеней с рейтингом «важные». Обновление под названием MS13-088 закрывает восемь критичных уязвимости и две важных уязвимости в Internet Explorer. Всего Microsoft устраняет 19 проблем в Internet Explorer, Office и в самой ОС Windows.
Гвоздём программы является обновление MS13-090, закрывающее CVE-2013-3918 – уязвимость в ActiveX, эксплуатируемую через Internet Explorer. Эту уязвимость раскрыли 8 ноября ребята из FireEye; они также рассказали, что смогли «вскрыть» её в результате длительной APT-атаки, которую они назвали DeputyDog. Чтобы выполнить атаку, группа киберпреступников взломала ещё один тщательно выбранный веб-сайт, посетителей которого и перенаправляла на сайт с эксплойтом 0-day уязвимости. Следует оговориться, что это краткое описание не даёт полного представления о том, сколько усилий потребовалось, чтобы найти подходящий веб-сайт для взлома, а затем встроить в схему 0-day уязвимость. Имя владельца взломанного веб-сайта до сих пор не предано огласке. То, как удачно эта группа подгадала время для эксплуатации 0-day уязвимости, вполне может указывать на высокий профессионализм этой группы. За весь мой десятилетний опыт изучения shellcoding-методов, я не припомню, чтобы CreateRemoteThread использовался в качестве носителя полезной нагрузки в сколько-нибудь значимом эксплойте, сообщает securelist.com.
Обновление MS013-088 также входят патчи сразу к восьми уязвимостям в Internet Explorer. Без сомнений, эти патчи организациям нужно ставить немедленно – проблемы с нарушением целостности оперативной памяти чреваты эксплойтами. Из восьми CVE, несколько имеют отношение к серьезным проблемам с «раскрытием информации», из-за которых авторы эксплойтов могут внедрять код экплойтов глубже в адресное пространство процесса.
И наконец, Microsoft неожиданно патчит код в конвертере WordPerfect "wpft532.cnv" из-за проблемы переполнения стека CVE-2013-1324. Благодаря этой уязвимости возможны атаки направленного фишинга (spearphishing) на пользователей всех версий Windows, хотя на некоторых 64-битных платформах этот компонент может отсутствовать. Я не ожидал, что мне придётся в конце 2013 года писать об уязвимости переполнения стека в коде от Microsoft, но такова жизнь.
