Microsoft представила вторничный патч за март 2015

Во второй вторник очередного месяца компания Microsoft представила обновления своих программных продуктов. Вслед за Apple Microsoft в бюллетене S15-031 закрыла уязвимость FREAK в собственной реализации протокола SSL. Всего представлено 14 бюллетеней безопасности, из которых пять названы критическими (critical), так что данные обновления должны быть установлены в первую очередь.

Мартовские бюллетени затрагивают как потребительские, так и серверные продукты Microsoft, такие как Windows, Internet Explorer, Office, SharePoint Server и Exchange Server. К IE и пакету приложений Office относятся критические бюллетени MS15-018 и MS15-022 соответственно, закрывающие дающие возможность получить удалённый доступ к системам уязвимости. В случае Internet Explorer это осуществляется при помощи инфицированных вредоносным кодом веб-страниц, для Office код встраивается в документы.

Бюллетень MS15-026 отмечен как существенный (important) и относится к Microsoft Exchange Server. Уязвимость затрагивает веб-клиент Outlook Web Access (OWA), дающий возможность работать с почтой в браузере. Вредоносные ссылки перенаправляют пользователей на сайт OWA, далее повышаются привилегии пользователя в системе, чем и пользуются злоумышленники.

Бюллетень MS15-030 (также существенный) описывает уязвимость протокола удалённого рабочего стола (Microsoft Remote Desktop Protocol). Её использование позволяет проводить DoS-атаки на сервер. Полный перечень бюллетеней доступен здесь (на англ.).