Microsoft

MS13-001: Erős darabbal indul az új év: a sokak szívében kiemelt helyet elfoglaló Printer Spooler szolgáltatás hibája lényegében a nyomtatási sorok "megfertőzését" teszi lehetővé: egy nomtatási joggal rendelkező felhasználó olyan feladatokat hozhat létre a nyomtató kiszolgálón, melyek kódfuttaáshoz vezetnek a nyomtatási sorhoz hozáfférő más felhasználók számítógépén. Fontos megjegyezni ugyanakkor, hogy a Windows beépített eszközein keresztül nem használható ki a probléma, kizárólag egyes más gyártótól származó, Windows API-t használó szoftverek lehetnek érintettek. Helyi hozzáféréssel rendelkező támadók jogosultságkiterjesztésre használhatják a problémát, a sérülékeny szolgáltatás ugyanis Local System jogkörrel fut.

MS13-002: Szintén egy régi ismerős, az XML Core Services sérülékenységeinek javítása. Az érintett szoftverek listája igen széles, így pontos listáért a hivatalos bulletint tudom ajánlani. A sérülékenységek általában úgy triggerelhetők, hogy az áldozatot rávesszük egy speciális "dokumentum" (első sorban web, office) megnyitására. Friss PoC itt van.

MS13-003: Cross-Site Scripting sérülékenység javítása a System Center Operations Manager 2007-es változataiban. Tovább nem ecsetelném.

MS13-004: CAS megkerülésre illetve helyi jogosultságkiterjesztésre használható .NEt sérülékenységek javításai. 3.5 SP1-en kívül minden támogatott verzió érintett.

MS13-005: A win32k.sys sérülékenységének kihasználásával alacsony integritási szintű folyamatok üzeneteket küldhetnek magasabb szintű folyamatok számára, ezzel tipikusan lehetőséget adva a különböző alkalmazás-sandbox megoldások kijátszására.

MS13-006: Aktív hálózati támadók észrevétlenül downgrade-elhetik a Windows beépített SSL/TLS protokollstackjét használó kapcsolatokat SSLv2-re, engedélyezve gyenge kriptográfiai algoritmusokat is.

MS13-007: A .NET keretrendszerben megvalósított OpenData protokoll kezelőjének hibája szolgáltatásmegtagadást tehet lehetővé távoli autentikálatlan támadók számára speciális HTTP kérések segítségével. 

Adobe

Egy szem puffer túlcsordulásos problémát javítottak a Flash Playerben - a javítás 1-es prioritású Windows-on, a sérülésekre hamarosan exploitok készülhetnek.

Az Adobe Reader és Acrobat termékek 26 hibára kaptak foltot, 9-es vagy annál korábbi olvasók esetén Windows felhasználóknak a gyártó szintén 72 órán belüli frissítést javasol. 

Firefox 18

Letölthető a szokásos helyről. Buglista itt.

Egyebek

Elég ronda hibát javítottak az NVidia Display Driver Service-ben. Bár egy képernyődriver szolgáltatásról van szó, az általa használt named pipe ACL-je olyan, hogy ahhoz bármely tartományfelhasználó távolról hozzáférhez, rajta keresztül pedig kihasználhat egy stack overflow sérülékenységet. Külön szépség, hogy a szolgáltatás válaszüzenetekben a stack egy részét is visszaköpi, így a stack cookie védelem könnyen megkerülhető. 

Javítás érkezett ezen kívül a wiki.debian.org vesztét okozó MoinMoin sérülékenységre is.