Microsoft выпустила июльский набор исправлений

Об этом сообщает "CyberSecurity".

Интересно отметить, что три уязвимости связаны с тем, как софт Microsoft обрабатывает шрифты. "Работа со шрифтами в операционной системе стала действительно сложной, там есть процессы реального времени, которые запускаются во время печати и эта сложность может стать предметом атаки", — говорит Вольфганг Кандек, технический директор Qualys.

Количество критических уязвимостей, которые были устранены на этот раз выше, чем в среднем. Как правило, из всего набора уязвимостей, компания выпускает 1-2 бюллетеня, описывающих критические баги, но на сей раз таких уязвимостей было три — MS13-052, -053 и -054. Все они связаны с системой рендеринга Microsoft TrueType Fonts.

При помощи данных уязвимостей, атакующий может встраивать вредоносные значения в описания шрифтов, что вызывает переполнение выделенной памяти под систему рендеринга шрифтов и спровоцировать запись в блоки памяти, предназначенные для других операций. Шрифт-инструкции могут предоставляться Windows или Internet Explorer.

Дополнительная опасность кроется в том, как Windows работает со шрифтами — ОС это делает с привилегиями системного пользователя, который имеет значительно больше полномочий, нежели обычные пользователи.

Среди других продуктов, подвергшихся исправлению, можно выделить NET Framework, Silverlight, Office, Visual Studio, Lync, IE, а также Windows Defender.