יום שלישי התיקון החודש כולל תשעה עלוני אבטחה, כאשר חמישה מהם דורגו קריטיים. אנו רואים מספר קטן יותר של טלאים מכיוון שלדברי מייקל גריי, סגן נשיא טכנולוגיה בחברת Thrive Networks, "ייתכן שמיקרוסופט שמרה על דברים פשוטים כדי לא להעלים את האש על פרסום עדכון יום השנה ל- Windows 10 שלהם."

קריטי

שניים מהתיקונים החודשיים המצטברים מיועדים ל- Internet Explorer (MS16-095) ו- Microsoft Edge (MS16-096). הראשון פותר חמש פגיעויות בשחיתות זיכרון וארבעה פגמים בחשיפת מידע, בעוד שהראשון פותר שמונה באגים (ארבעה פגמים בשחיתות זיכרון, שלושה חורי גילוי מידע ופגיעות אחת של Microsoft PDF RCE).

התיקון הקריטי השלישי הוא MS16-097 והוא עדכון אבטחה שמתייחס לפגיעויות RCE ברכיב הגרפי של מיקרוסופט. MS16-099 מתקן שלוש פגיעויות בשחיתות של Office בזיכרון, באג אחד לחשיפת מידע של Microsoft OneNote ופגיעות בזיהום של רכיב גרפי אחד. לבסוף, MS16-102 פותר פגם אחד RCE בספריית PDF של Microsoft Windows ו- מהנדס התוכנה הראשי של Core Security, ג'ון רודולף, הסביר שחשוב לפקוח עין על פגיעות CVE-2016-3319 המכונה "פגיעות של ביצוע קוד מרחוק של Microsoft PDF.

חשוב

על פי יומן השינויים, MS16-098 מתקן ארבע העלאות של פגיעויות בהרשאות במנהלי התקנים של מצב הליבה של Windows; MS16-100 נפטר מאגירת מעקפים של תכונות אבטחה ב- Windows Secure Boot, שתאפשר לתוקפים להשבית בדיקות שלמות קוד ולהעמיס הפעלה ומנהלי התקנים חתומים על מבחן למכשיר יעד. התיקון השלישי, MS16-101, מתקן שתי העלאות של נקודות תורפה: פגם ב- Kerberos EoP ובאג EOP של Netlogon.

באשר ל- MS16-103, תיקון זה מטפל בפגם של גילוי מידע ב- ActiveSyncProvider עבור Windows 10 ו- Windows 10 גירסה 1511. מיקרוסופט הצהירה כי "הפגיעות עלולה לאפשר גילוי מידע כאשר Universal Outlook לא מצליחה ליצור חיבור מאובטח", והוסיפה כי "העדכון. מטפל בפגיעות על ידי מניעת Universal Outlook לחשוף שמות משתמש וסיסמאות."