Η Microsoft κυκλοφόρησε 16 ενημερωτικά δελτία (bulletins) ασφαλείας την Τρίτη επιλύνοντας συνολικά 44 “τρύπες” ασφαλείας στο λογισμικό της, συμπεριλαμβανομένων των Windows, Office, Exchange Server, τον Internet Explorer και Edge.


Πέντε από αυτά τα bulletins βαθμολογήθηκαν ως “κρίσιμα” όπου θα μπορούσαν να χρησιμοποιηθούν για την πραγματοποίηση της απομακρυσμένης εκτέλεσης κώδικα και να επηρεάσει τα εξής: Windows, Internet Explorer, Edge , Microsoft Office και το Office υπηρεσίες και τα υπόλοιπα 11 σημειώθηκαν ως σημαντικές.

Ένα από τα κρίσιμα ζητήματα, MS16-071 που έκρουσε τον κώδωνα του κινδύνου σε πολλούς ειδικούς σε θέματα ασφάλειας περιλαμβάνει μια Use-After-Free bug (CVE-2016-3227) η οποία επηρεάζει το Microsoft Windows Domain Name System (DNS) για τον Windows Server 2012 και 2012 R2.

Η ευπάθεια έγκειται στον τρόπο που τα servers εξετάζουν τις αιτήσεις. Οι επιτιθέμενοι θα μπορούσαν να στείλουν μια ειδικά δημιουργημένη αίτηση σε ένα διακομιστή DNS και να τον πείσουν να εκτελέσει ένα αυθαίρετο κώδικα στο πλαίσιο του τοπικού συστήματος λογαριασμού (Local System Account), οι σύμβουλοι της Microsoft προειδοποιούν.

Μια άλλη κρίσιμη ευπάθεια απευθύνεται στο MS16-070, το οποίο καταφέρνει να μπαλώσει κάποιες από τις τρύπες ασφαλείας του Microsoft Office.

Το κρίσιμο και τρωτό σημείο στην καταστροφή της μνήμης (CVE-2016-0025) κατοικεί σε μορφή Microsoft Word RTF η οποία θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει έναν αυθαίρετο κώδικα και να πάρει τον έλεγχο του συστήματος, εφόσον ο χρήστης ήταν συνδεδεμένος με τα δικαιώματα διαχειριστή.
Ο εισβολέας θα μπορούσε να το εκμεταλλευτεί με ένα απλό e-mail που περιέχει ένα αρχείο Microsoft Word RTF χωρίς να χρειαστεί η αλληλεπίδραση του χρήστη.

Τα δύο κρίσιμα bulletins που απομένουν απευθύνονται στους πολλαπλούς και τρωτούς απομακρυσμένους κώδικες εκτέλεσης στα προγράμματα περιήγησης της Microsoft, του Internet Explorer και του Edge.

Τα υπόλοιπα bulletins απευθύνονται στις ευπάθειας των Windows SMB Server, τα Windows NetLogon, μεσολάβησης Web Auto-Discovery (WPAD), Microsoft Exchange, Active Directory, τα Windows PDF και άλλων.

Την ίδια στιγμή και η Adobe έβγαλε security patches για DNG Software Development Kit, Brackets, Creative Cloud Desktop App.

Ωστόσο, ένα patch για το τρωτό σημείο σε ένα zero-day (CVE-2016 – 4.171) στο Adobe Flash Player που η Adobe ισχυρίζεται ότι είναι εκμεταλλεύσιμο σε περιορισμένες στοχευμένες επιθέσεις θα είναι διαθέσιμο σε αργότερα αυτή την εβδομάδα

Ο Anton Ivanov και ο Costin Raiu του Kaspersky Labs ανακάλυψαν και ανέφεραν την zero-day ευπάθεια στην έκδοση 21.0.0.24 του Flash Player και τις προηγούμενες εκδόσεις για τα Windows, Macintosh, Linux και Chrome OS. Το τρωτό σημείο στο Flash zero-day έχει αναπτυχθεί κατά των ενεργών επιθέσεων κατασκοπείας.