Компания Microsoft выпустила в рамках вторничного патча обновления для устранения 68 уязвимостей в Windows, Office, Edge, Internet Explorer и SQL Server. Две из них активно использовались злоумышленниками и три были публично известными.
Всего представлено 14 бюллетеней безопасности, один из которых посвящён Adobe Flash Player на Windows 10 и 8.1. Шесть бюллетеней названы критическими, восемь важными.
Системным администраторам следует обратить внимание на бюллетень MS16-135, где закрывается уязвимость нулевого дня в Windows, уже используемая группой хакеров Fancy Bear (известной также как APT28 или Strontium). Уязвимость CVE-2016-7255 была обнародована компанией Google неделей ранее, всего через десять дней после уведомления Microsoft о её существовании, что вызвало неудовольствие последней.
Google даёт разработчикам всего семь дней на исправление найденных уязвимостей или на публикацию рекомендаций по защите от неё. Microsoft не согласна с такой политикой и считает, что действия Google подвергают пользователей опасности.
Другим важным для Windows бюллетенем является критический MS16-132. Он закрывает ряд уязвимостей дистанционного выполнения кода, в том числе одну уже используемую уязвимость нулевого дня. Она находится в библиотеке шрифтов Windows и может использоваться через специально созданные шрифты в документах или на сайтах. Это может дать контроль над системой.
Три критические уязвимости находятся в Internet Explorer и Edge (MS16-142 и MS16-129), обнародованные ранее, но не использовавшиеся хакерами. К Office относится важный MS16-133, затрагивающий дистанционное исполнение кода через документы. Поскольку Office используется на предприятиях и среди домашних пользователей весьма широко, рекомендуется как можно быстрее установить обновления для него.
Администраторы Microsoft SQL Server должны обратит внимание на MS16-136 с уязвимостью движка RDBMS, MDS API, SQL Analysis Services и SQL Server Agent. Тут нет возможности дистанционного выполнения кода, но атакующие могут получить повышенные привилегии и создавать, просматривать и менять аккаунты.
Компания Adobe выпустила новую версию приложения Flash Player, которая закрывает найденные со времени появления прошлой версии уязвимости. В момент релиза список изменений представлен не был, но версия Adobe Flash Player 23.0.0.207 нацелена в первую очередь на безопасность и устранение уязвимостей, так что пользователям рекомендуется установить её как можно скорее.
Adobe выпускает обновления безопасности одновременно с Microsoft, так что появление этого патча во второй вторник месяца (8 ноября) является запланированным событием. Microsoft также обновила свои программные продукты, закрывая найденные за минувший месяц и ранее уязвимости и баги.
Google и Microsoft обновляют Flash Player по своим каналам, поскольку приложение входит в состав их браузеров. Для браузеров Edge и Internet Explorer это происходит через центр обновления Windows.
Также пользователи имеют возможность скачать последнюю версию Flash Player на сайте Adobe и установить её вручную.
В день ноябрьских вторничных патчей компания Microsoft выпустила новые кумулятивные обновления для разных версий системы Windows 10, в том числе для Anniversary Update (1607). Обновления получили номера KB3198586, KB3198585 и KB3200970 и доступны в центре обновления Windows, после их установки потребуется перезагрузка.
Наряду с кумулятивными обновлениями устанавливаются обновления безопасности, так что посетить центр обновлений рекомендуется как можно скорее. Внесены улучшения и повышена надёжность как операционной системы, так и ряда предустановленных приложений, вроде браузера Edge.
После установки обновления на версию Anniversary Update система получает номер 14393.447. Здесь решена проблема с отображением подключения Wi-Fi, обновления безопасности получили драйверы режима ядра, Edge, Boot Manager, Internet Explorer 11, драйвер Common Log File System, Microsoft Virtual Hard Drive, Microsoft Video Control, методы аутентификации Windows, Windows File Manager, OpenType и Microsoft Graphics Component.
Версия 1511 обновлена до 10586.679, а 1507 до 10240.17190. Windows 10 Mobile на Production Ring (не инсайдеры) пока остаётся на версии 14393.321, на Release Preview и варианте «Поздний доступ» на версии 14393.351.
Компания Microsoft во вторник анонсировала программу предварительного тестирования Skype Insider Program, которая позволит пользователям первыми получать доступ к новым сборкам. Она доступна на платформах iOS, macOS, Android и Windows, но не относится к универсальному приложению UWP Skype Preview, поскольку оно входит в состав программы тестирования Windows Insider. Сборки Skype Preview доступны получателям сборок Windows 10 при обновлении «Ранний доступ».
В форме заполнения заявки на вступление в программу тестирования можно попроситься участвовать в ней и на других платформах, вроде Xbox или работать с клиентом Linux Alpha. После одобрения заявки Microsoft обещает в течение одного рабочего дня предоставить инструкции по тому, как начать тестирование. До того момента пользователю рекомендуется скачать последнюю предварительную сборку Windows Insider.
Новость появилась спустя день после информации о запуске программы Xbox Insider Program, которая прежде была известна под названием Xbox One Preview Program. Она станет доступной всем желающим, но новые участники не будут получать системных обновлений.
С пополнением в виде Skype список программ тестирования Microsoft стал ещё шире. В них представлены Windows, Office, Xbox, мобильные приложения Office Lens и OneDrive на Android. Вступить в Skype Insider Program можно здесь.
Расширение браузера Web of Trust (WoT), призванное информировать пользователей о безопасности посещаемых сайтов, само оказалось небезопасным. Его разработчики, как выяснилось, собирали и продавали данные пользователей, причём без анонимности этих данных.
BBC сообщает, что WoT скачано более 140 млн. раз. Вряд ли пользователям приходила в голову мысль, что их привычки и история посещений сайтов могут стать товаром.
Исследование немецкой вещательной компании NDR показало, что авторы Web of Trust не анонимизировали собираемые и продаваемые пользовательские данные. В результате можно понять, кому принадлежат истории посещений сайтов, какие делались запросы о здоровье и т.д. Эти данные содержат адреса электронной почты и даже номера телефонов.
В компании соизволили признать, что её действия были «неприемлемыми» и что они предпримут шаги для исправления ситуации. В частности, политика конфиденциальности будет изменена так, что пользователей при установки расширения будут предупреждать, что информация собирается и продаётся. Это обещание не слишком обнадёживает, поскольку мало кто из пользователей при установке расширений читает соглашения. Более ценным выглядит обещание обеспечить анонимность.
Таким образом, призванные защищать пользователей системы сами становятся источником утечки информации, укрепляя уверенность в своей правоте среди тех, кто считает конфиденциальность в глобальной сети недостижимым мифом.