Согласно описанию Microsoft, один из заявленных семи бюллетеней имеет критическую степень опасности, остальные обозначены, как "важные". Напомним, что шкала критичности багов у Microsoft имеет 4-уровневую структуру - критически опасные и важные уязвимости - это первая и вторая степень опасности. Относительно новых багов Microsoft отмечает, что три из них допускают операцию по удаленному исполнению программного кода, то есть потенциально они позволяют злоумышленникам вторгаться и похищать данные с незащищенных систем.

Еще один баг имеет довольно экзотическую природу - он позволяет обходить ряд системных функций безопасности и направлен именно на их атаку. В Microsoft Security Response Center говорят, что данный баг имеет уникальную природу и прежде похожих уязвимостей в продуктах компании не было. В то же время, для того, чтобы использовать данный баг, злоумышленник вначале должен проникнуть на компьютер при помощи другого эксплоита, что делает атаку технически довольно сложной.

По неофициальной информации, так называемый SBF-баг (security bypass feature) связан с системой Microsoft SEHOP, предназначенной для обеспечения безопасности работы устаревших приложений. Сама система SEHOP или Structured Exception Handler Overwrite Protection представляет собой разновидность анти-эксплоитной технологии, созданной для блокировки наиболее частых методов вторжений в систему. Впервые она появилась еще в 2009 году.

Более подробные данные об уязвимостях Microsoft опубликует на будущей неделе, после того, как клиентам станут доступны сами исправления.

Отметим, что на данный момент неизвестно, будут ли в январском наборе исправлений устранены уязвимости, обнаруженные в конце прошлого года и связанные с SSL 3.0 и TLS 1.0, активно эксплуатируемые создателями приложения BEAST (Browser Exploit Against SSL/TLS). Изначально планировалось их устранить еще в декабре, но производитель программного обеспечения SAP попросил об отсрочке из-за несовместимости исправлений со своими продуктами.