12 апреля компания Microsoft, помимо обновлений систем Windows 10 и Windows 10 Mobile, представила ежемесячные обновления других своих программных продуктов, которыми кроме систем Windows стали браузеры Edge и Internet Explorer, пакет приложений Office и другие. Всего представлено 13 бюллетеней безопасности, один из них относится к выпущенному несколько дней назад патчу для Flash Player, который войдёт в состав Internet Explorer и Edge. Из остальных 12 бюллетеней критическими названы 6, относящихся к Windows, Internet Explorer, Office и Edge. Обновления закрывают уязвимости, делающие возможным удалённое исполнение кода и повышение привилегий, после установки системе потребуется перезагрузка.
Для пользователей Windows наиболее значимым является бюллетень MS16-039, устраняющий уязвимость графического компонента системы. Ей затронуты все версии Windows, от Vista до 10, а также Office 2007 и 2010, .NET, Skype и Lync. Две уязвимости нулевого дня делают возможным повышение привилегий в системе до администраторских. При посещении вредоносного сайта можно стать жертвой атаки эксплоита Flash, использующего уязвимость CVE-2016-0165/7 из MS16-039.
Критическим назван и MS16-042, описывающий Outlook и уязвимость, через скомпрометированный документ формата RTF дающую атакующему такие же привилегии, как у пользователя системы. Internet Explorer и Edge получили бюллетени MS16-037 и MS16-038 соответственно, в каждом закрыто по шесть уязвимостей, которые до сих пор не нашли применения. MS16-040 включает в себя новую версию msxml.dll для закрытия уязвимости в подсистеме XML Core. Чтобы стать жертвой данной уязвимости, пользователь должен зайти на сайт с файлом XML.
Все патчи традиционно доступны в центре обновлений, однако с ним существуют проблемы. Ряд пользователей Windows 7 (в большинстве случаев) и 10 сообщают о зависании центра при проверке наличия обновлений или их скачивании, при этом процесс svchost.exe использует 100% CPU. Единственной рекомендацией пока является не проверять наличие обновлений вручную.
Кроме того, у некоторых есть проблемы с обновлением KB3147458. После его установки ряд пользователей утратили доступ к магазину приложений и ряду программ из него. У других обновление отказывается устанавливаться вовсе.
Одновременно с новой сборкой для смартфонов компания Microsoft во вторник выпустила обновление Windows 10 KB3147458 на персональных компьютерах, после которого версия системы становится 10586.218. Новых функций тут также нет, акцент сделан на исправления багов.
Улучшена стабильность работы браузеров Internet Explorer 11 и Edge, .NET Framework, беспроводных сетей, центра обновления, экрана входа в систему, Bluetooth, карт, воспроизведения видео, Cortana, USB, проводника Windows и приложения Narrator. Решена проблема с работой устройств через USB, принтеры теперь обнаруживаются после вывода системы из спящего режима, решены неисправности на экране блокировки, воспроизведения аудио в приложении Groove и других, с Cortana, покупками приложений в магазине, распознаванием лиц, обновлением живых плиток и Microsoft Installer (MSI). Решены ряд проблем безопасности в Security Account Manager Remote Protocol, HTTP.sys, компоненте Microsoft Graphics, .NET Framework, CSRSS, Microsoft Edge и Internet Explorer 11.
KB3147458 представлено для установивших ноябрьское обновление пользователей, а для RTM-версии выпущено обновление KB3147461. Оно включает в себя улучшенные уведомления в меню «Пуск» при необходимости установки обновлений, улучшенную поддержку приложений с сканерами штрих-кодов, решены ряд проблем в Internet Explorer и Edge, проводнике, Bluetooth, Cortana. Решены те же проблемы безопасности, что и перечисленные выше в KB3147458.
Как и ожидалось, во вторник смартфоны на Windows 10 Mobile с вариантом обновления Release Preview и Production Ring получили очередную сборку системы, которая принесла лишь небольшие исправления и оптимизации. Через вариант «Поздний доступ»выпускаются только сборки Redstone.
Между тем, на этой неделе от Microsoft ждут более значимого релиза как раз в виде очередной сборки Redstone. Она должна была выйти на прошлой неделе, но из-за бага релиз был отменён. Сейчас известно, что внутреннее тестирование новой сборки протекает нормально и вскоре она может показаться на серверах Microsoft.
Пока же предстоит довольствоваться кумулятивным обновлением. В нём появилась поддержка Visual Voicemail на аппаратах с двумя слотами SIM-карт, улучшена работа Bluetooth, решена проблема с прерыванием воспроизведения аудио при выключенном экране, улучшена работа браузера Edge (фоновое скачивание файлов и открытие окон при переходе по ссылке из приложений), улучшена работа Cortana при чтении сообщений вслух, надёжнее стал работать магазин Store (в том числе решена проблема установки и обновления приложений), решена проблема с пустыми заголовками приложений после обновления с Windows Phone 8.1, улучшено подключение к ПК через USB.
С 2014 по 2015 год число уязвимостей нулевого дня в программных продуктах выросло с 24 до 54. Такого рода уязвимости существуют в приложениях и системах и активно используются злоумышленниками, при этом разработчики об их существовании не знают. После того, как о них становится известно и выходит патч, уязвимость уже не называют уязвимостью нулевого дня.
Исследователи безопасности и хакеры ценят их одинаково высоко: одни стараются получить награду за обнаружение, а другие успеть использовать, пока уязвимость не закрыта. Компания Symantec подготовила ежегодный доклад, показавший рост числа уязвимостей на 125% по сравнению с показателем 2014 года. Symantec считает, что разработчикам на закрытие таких уязвимостей требуется 7-8 дней.
Большинство уязвимостей нулевого дня были найдены в составе Flash - четыре из пяти занимающих в списке первые места. Всего же у Flash их 17% от общего числа найденных в прошлом году - 10 из 54. Самой востребованной в прошлом году была уязвимость CVE-2015-0313, использованная в 81% целенаправленных атак.
6 уязвимостей найдено в Windows, 4 в Android, 2 в Internet Explorer и столько же в Microsoft Office. В открытых приложениях найдено 11 уязвимостей - в приложениях электронной коммерции, платформах управлений контентом, сетевых протоколах и т.д.
Компания Samsung в этом году может анонсировать планшетофон Galaxy Note 6 раньше августа, когда в прошлом году был представлен Note 5. Слухи на сей раз говорят об анонсе в июле. Как бы то ни было, поток информации относительно данного устройства будет только увеличиваться. Очередная новость говорит о том, что аппарат получит новый процессор производства Qualcomm. Им должна стать модель Snapdragon 823, улучшенная версия распространённого сейчас в составе флагманов Snapdragon 820. Также Snapdragon 823 может появиться в аппарате LG G Flex 3 и новом флагмане Sony Xperia.
Тактовая частота у 823 может составить 3 ГГц против 2,3 ГГц у Snapdragon 820, а объём оперативной памяти DDR4 может достигнуть 8 Гб, хотя прошлые слухи говорили о 6 Гб памяти RAM. Если смартфоны с 6 Гб памяти уже существуют, то до 8 Гб дело пока не доходило. Samsung уже анонсирована начало производства чипов памяти LPDDR4 объёмом 12 Гбит, что позволит выпускать аппараты с объёмом памяти 6 Гб при помощи четырёх таких чипов.
О процессоре Snapdragon 823 информация появляется не впервые, ранее слухи говорил о нём в аппаратах Xiaomi Mi Note 2 и HTC 10 Mini.