Microsoft

MS13-080: A frissítés orvosolja a nem rég aktív támadásokban felfedezett Internet Explorer 0-day-t (Metasploit modul és leírás itt), valamint egy feltehetően szeptember közepe óta aktív, szintén célzott, japán és koreai felhasználókra lövő támadások során használt use-after-free problémát is. A csomagban ezen kívül még 8 sérülékenységet javítanak. 

Kapcsolódó hír, hogy a Microsoft a BlueHat Prize pályázat keretében 100.000 dollárt ítélt oda James Forshaw-nak egy, az IE11 bétáját érintő tervezési problma felfedezéséért, bejelentéséért, valamint a javításban történő aktív közreműködésért. Emellett a cég kisebb részletekben további 28.000 dollárt osztott ki különböző kutatók között a Windows és az IE megerősítésére tett erőfeszítéseikért. Sajnos a feltárt hibák részletei egyelőre nem nyilvánosak, minden esetre jó látni a MS elköteleződését a független biztonsági kutatók megfizetésére.

MS13-081: Ez a javítócsoag összesen hét darab, a Windows OpenType illetve TrueType betűkészletek kezelésében vétett hibát orvosol, melyek kihasználása rendszer szintű kódfuttatáshoz vezethet megbízhatatlan tartalmak betöltésekor.

MS13-082: Ez a csomag a .NET keretrendszerhez jár, és pár DoS-t okozó probléma megszűntetése mellett megakadályozza, hogy ugyancsak OpenType betűkészletek segítségével egy támadó tetszőleges kódfuttatáshoz jusson XBAP alkalmazásokon keresztül.

MS13-083: A COMCTL32 hibája lehetővé teszi, hogy egy hitelesítetlen támadó egy speciális kérés elküldésével tetszőleges kódfuttatást nyerjen ASP.NET webalkalmazásokat futtató kiszolgálókon. Az integer túlcsordulás probléma csak 64-bites rendszereket érint, de ettől még ez egy elég fincsi sérülékenységnek tűnik!

MS13-084: Ez a javítás az Office szerver komponenseihez érkezett. A javított sérülékenységek az alkalmazásokon belüli privilégiumemeléshez, illetve memóriakorrupciós hibákon keresztül tetszőleges kódfutattáshoz vezethetnek.

MS13-085: A Google fuzz farmjáról erre a hónapra két Office sérülékenység jutott, melyek speciális Excel dokumentumok feldolgozáskor eredményezhetnek kódfuttatást az áldozat felhasználója nevében.

MS13-086: Még mindig Office, de ezúttal a Word komponensben javítanak 2 memóriakorrupciós sérülékenységet.

MS13-087: Egy Silverlight információszivárgás javítása - egy másik sérülékenységgel kombinálva jól jöhet, egyébként nem érdemes nagyobb figyelmet.

Adobe

Az Adobe ebben a hónapban visszafogta magát (lehet, hogy mostanában inkább az incidenskezeléssel voltak elfoglalva), a Reader illetve az Acrobat egy, a JavaScript motor biztonsági kontrolljait érintő javítást kapott, ami megakadályozza JS-ben definiált erőforrások megnyílását PDF dokumentumokban.

Ezen kívül javításra került egy RoboHelp-et érintő memóriakorrupciós probléma, amelyre még csak rendes frissítő szoftvert sem adtak ki, hanem az üzemeltetőknek kézzel kell lecserélniük az alkalmazás egyik DLL-jét...

A most megjelent Flash frissítés nem tartalmaz biztonságot érintő újdonságokat.