Апрельский патч Microsoft в апреле не приносит никакого исправления Pwn2Own

Системные администраторы и профессионалы в области безопасности ИТ могут немного вздохнуть: Microsoft выпустила сравнительно легкий набор исправлений для этого выпуска ежемесячной версии исправлений уязвимостей программного обеспечения.

«Это скучный патч во вторник в этом месяце, и это отличная вещь для команд ИТ-безопасности, потому что не будет безумной порывы собак, чтобы получить исправления в этом месяце», - написал Эндрю Стормс, директор по операциям по безопасности для охранной фирмы nCircle, в заявлении по электронной почте.

Возможно, самым удивительным аспектом выпуска патчей в этом месяце была уязвимость высокого профиля, которая не покрывалась. Многие ожидали, что Microsoft исправит ошибку Pwn2Own Internet Explorer, обнаруженную в начале этого года во время конкурса хакеров, но такое исправление не было включено в этот раунд. «Это значительно уступает другим браузерам, которые уже исправили свои ошибки Pwn2Own», - отметил Шторм.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В целом Microsoft выпустила девять бюллетеней, в которых содержится 14 уязвимостей, Напротив, компания зафиксировала 20 уязвимостей в марте и 57 в феврале.

Два бюллетеня в коллекции этого месяца были обозначены как критические, а остальные семь были обозначены как важные. Windows 9 и Windows Defender должны быть обновлены.

Компании по безопасности рекомендовали обновить Internet Explorer с критическими исправлениями, выпущенными Microsoft в этом месяце для браузера, как в MS13- 028, затрагивая все поддерживаемые версии Internet Explorer, версии с 6 по 10. «Атакующие будут изучать, как использовать эти две уязвимости, поскольку злоумышленники могут настроить таргетинг на несколько версий Internet Explorer с помощью только нескольких уязвимостей. Поэтому очень важно развернуть этот патч как можно скорее », - написал Marc Maiffret, главный технический специалист по безопасности фирмы BeyondTrust, в своем собственном анализе.

В другом критическом бюллетене был рассмотрен клиент Microsoft Remote Desktop MS13-029. Эта уязвимость существует в элементе управления ActiveX клиента и может дать злоумышленникам возможность выполнять произвольный код на машине пользователя. К счастью, эта уязвимость не входит в последнюю версию клиента Microsoft Remote Desktop, что в значительной степени снижает количество затронутых компьютеров в соответствии с nCircle.

Microsoft проводит веб-трансляцию для решения вопросов клиентов об этом раунде патчей на 10 апреля.