Уязвимости, описанные в двух вышеупомянутых уведомлениях Microsoft, в случае эксплуатации позволяют злоумышленнику выполнить произвольный код на системе жертвы.
По данным Microsoft, в обнаружении уязвимостей в Internet Explorer поучаствовали в общей сложности 32 исследователя, некоторые из которых предпочли сохранить анонимность. Это очень крупное обновление для нативного браузера Windows, которое указывает, что данный продукт ещё содержит ряд опасных брешей.
Не все уязвимости были обнаружены в последнее время. Так, о CVE-2014-1770 было заявлено ещё полгода назад на проекте Zero-Day Initiative (ZDI). По правилам этого проекта, подробная информация об уязвимости не раскрывается, пока вендор не выпустит обновление для неё, либо по прошествии 6 месяцев. ZDI была основана компанией HP для повышения общего уровня безопасности в Сети и борьбы с уязвимостями.
В своих уведомлениях Microsoft по-прежнему сообщает, является ли Windows XP уязвимой к той или иной бреши. Это интересный факт, учитывая, что официальная поддержка данной операционной системы завершилась несколько месяцев назад.
Патчи Microsoft, выпущенные 10 июня 2014 года, включают:
- (MS14-030) Исправление ошибки Remote Desktop, позволяющей раскрывать важные данные при подключении по RDP-протоколу;
- (MS14-031) Исправление ошибки протокола TCP, позволяющей вызвать отказ в обслуживании системы жертвы;
- (MS14-032) Исправление ошибки Lync Server, позволяющей раскрыть важные данные;
- (MS14-033) Исправление ошибки XML Core Services, позволяющей раскрыть важные данные;
- (MS14-034) Исправление ошибки Word, позволяющей скомпрометировать систему с помощью специально сформированного файла;
- (MS14-035) Исправление многих ошибок Internet Explorer, позволяющих с помощью специально сформированной веб-страницы скомпрометировать систему жертвы;
- (MS14-032) Исправление ошибки Graphics Component, позволяющей злоумышленнику с помощью специально сформированной веб-страницы или файла скомпрометировать систему жертвы.