A Microsoft rekordmennyiségű javítást hozott a fa alá, és elmondhatjuk, a javított sebezhetőségek minőségére sem lehet panasz:

• MS10-090: Hét Internet Explorert érintő hiba javítása, köztük a november eleje óta nyilvános exploittal "rendelkező" SetUserClip() problémájé is. Találtam ezen kívül egy ilyen szépséget is, melyet sajnos nem tudtam CVE azonosítóval párosítani, mivel a bejegyzések nagy része RESERVED státuszban van. A problémák egy kivételével kódfuttatást tehetnek lehetővé IE 6/7/8 alatt.
• MS10-091: Hálózati megosztásokra pakolt OpenType betűkészletekkel kódfuttatás érhető el bármely támogatott Windows verzión, ha a felhasználó a megosztásra navigál. A javítás három ilyen problémát orvosol.
• MS10-092: Az utolsó, Stuxnet által kihasznált sebezhetőség javítása. A privilégiumemelésre alkalmas hibáról itt már írtam.
• MS10-093 - MS10-097: Ez az öt bulletin több szoftver DLL injekciós hibáját javítja, erről a hibatípusról ebben a posztban emlékeztem meg. A javított termékek: Windows Movie Maker, Windows Media Encoder, Windows Live Mail/Writer, Windows Address Book és az Internet Connection Setup Wizard.
• MS10-098: Ebben a frissítésben kapott helyet ennek a Windows kernelt érintő, jogosultságkiterjesztésre alkalmas problémának a javítása, valamint öt másik rendszermagra szánt patch (ezek is jogosultságkiterjesztés tesznek lehetővé). A problémák az összes támogatott Windows változatot érintik.
• MS10-099: Szintén helyi jogosultságkiterjesztésre alkalmas hibát javít ez a csomag, ezúttal azonban csak az XP és a 2003 szerver érintett a Routing and Remote Access NDProxy hibájától.
• MS10-100: Az előző pepitában, helyi jogosultságkiterjesztésre alkalmas probléma javítása a Windows újabb változataiban (>=Vista). A probléma a Consent User Interface komponenst érintette, az alapértelmezett Server 2008 installációk nem sebezhetők.
• MS10-101: Windows Server 2003 és 2008 tartományvezérlők esetében kihasználható DoS probléma javítása. A Netlogon szolgáltatás speciális távolról érkező csomagok esetén NULL pointer dereferenciát hajt végre, ettől pedig szépen elhasal. A Microsoft közlése szerint a hiba nem alkalmas kódfuttatásra.
• MS10-102: A Windows Server 2008 Hyper-V-ket érintő probléma javítása. A sebezhetőség lehetővé tette a vendég rendszerek számára, hogy a VMBus-ra küldött speciális csomagokkal megfektessék a host rendszert.
• MS10-103: Kódfuttatásra alkalmas fájlfeldolgozási probléma javítása a Publisherben. Erre nem vesztegetnék több szót.
• MS10-104: Ez viszont egy jópofa darab, a Document Conversation Launcher Service-nek küldött spéci SOAP kérésekkel a Guest felhasználó kontextusában kód futtatható SharePoint kiszolgálókon. A szolgáltatás alapértelmezetten engedélyezett a standalone installációkon, farmon pedig alapértelmezetten ki van kapcsolva. A bulletin szerint ideiglene megoldás lehet a Document Conversations Load Balancer Service portjának tűzfalazása, azonban az MSRD vonatkozó posztja rávilágít, hogy a a Load Balancertől elkérendő üzenetek tartalma megjósolható, így a sebezhetőség utóbbi szolgáltatás elérése nélkül is kihasználható lehet.
• MS10-105: A Microsoft Office 2007 előtti változataiban használt Image Filter komponens javítása. Az Image Filter hibái kódfuttatást tettek lehetővé Office dokumentumokba ágyazott képeken keresztül. A hibajavítás az Office 2007 és 2010-hez hasonlóan az Image Filter helyett a GDI+ feldolgozót teszi alapértelmezetté a képek rendereléséhez, valamint visszavezeti az új változatokban használt filter és konverter tiltólistákat a régebbi szoftverekbe. Az MSRD témában írt posztja itt olvasható.
• MS10-106: Az Exchange Server végtelen ciklusba zavarható egy speciális RPC hívásos egítségével. A probléma a szoftver 2003-2010SP1 változatai között, autentikált felhasználók számára kihasználható.