Microsoft
MS13-052: 7 hibajavítás a .Net keretrendszerhez, és a Silverlighthoz. A legsúlyosabb probléma kliens oldalon kernel módú kódfuttatást tesz lehetővé (ismét TrueType) speciálisan összeállítot weboldalakon keresztül. A .Net sérülékenységek a Code Access Security megkerülésére is lehetőséget adnak.
MS13-053: Ebben a csomagban összesen hét kernel driverekhez kapcsolódó problémát javítanak, köztük még egy TrueType fontkezeléshez kapcsolódó, weben keresztül kihasználható biztonsági problémát, valamint a Tavis Ormandy által korábban nyilvánosságra hozott sérülékenységet is. Utóbbi sérülékenységet az hírek szerint már korábban kihasználták célzott támadások során privilégiumemelésre.
MS13-054: Ééés még egy TrueType-pal kapcsolatos hiba! Ez a rosszaság a GDI+ rétegben bújt el és Office-on, Lyncen illetve Visual Studion keresztül tesz lehetővé kódfuttatást, ismét csak rendszer szintű jogosultságokkal.
MS13-055: Összesen tizenhét hibajavítás az Internet Explorer különböző változataihoz. Kliens-oldali támadásokhoz ezek is remekül használhatók, de nem rögtön az rendszermagba dobják a szerencsés támadót, hanem "csak" a bejelentkezett felhasználó jogait biztosítják.
MS13-056: Egy tetsztőleges-írást biztosító probléma a DirectShow API-ban kódfuttatást tesz lehetővé, ha a felhasználó megtekint egy spéci GIF-et valamilyen, a hibás API-t használó, harmadik féltől származó alkalmazás segítségével.
MS13-057: A Windows WMV dekóderének hibája kódfuttatást tesz lehetővé speciálisan összeállított médiafájlok lejátszásakor. Vigyázzatok a megbízhatatlan forrásbóül származó pornóval audiovizuális műalkotásokkal! ;)
MS13-058: Az ehavi gyűjtés egyetlen nem kritikus besorolású eleme a Windows Defendert érinti. A védelmi szoftver frissítéskor lefuttat egy meghatározott nevű fájlt a C:\ gyökérből, ami értelem szerűen jogosultságkiterjesztést enged azon felhasználók számára, akik képesek létrehozni/módosítani ezt a fájlt.
A fentieken túl a Microsoft új biztonsági szabályzatot vezet be a cég online piacterein. Ennek értelmében a Microsoft értesíti a feltöltött alkalmazások gazdáit a szoftverük fontos és kritikus sérülékenységeiről, melyeket a fejlesztő 180 napon belül köteles javítani, ellenkező esetben, illetve ha a sérülékenységet aktívan kihasználják, a Microsoft eltávolítja az alkalmazást.
Adobe
Szokásosan frissült a Flash Player és a Shockwave is, mindkét termékben távoli kódfuttatásra alkalmas problémákat javítottak. Jött egy hotfix a ColdFusion-höz is, ez egy DoS problémán kívül egy olyan sérülékenységet javít, ami lehetővé teszi az alkalmazás komponensek (Component) publikus metódusainak közvetlen meghívását WebSocketeken keresztül.
Az Adobe Reader 9-et nyugdíjazták, használjatok sandboxos X-t vagy méginkább XI-t (bár ezekkel is vannak problémák)!
Megjelent a Chrome 28, a Google kb. 36.000 dollárt fizetett ki a különböző, javított sérülékenységek felfedezőinek, közülük Andrey Labunets 21.500 dollárt tehetett zsebre két hiba mestrei kombinálásáért.
A cég ezen kívül kiadta a foltot a Bluebox által bejelentett problémára - kérdés, hogy ez mennyi idő alatt jut el a különböző szolgáltatókon keresztül a végfelhasználókig.
Cisco
