В общей сложности в этом месяце Microsoft удалось исправить 65 проблем безопасности, причем по меньшей мере 22 из них помечены как критические. Компания не располагает данным о случаях экспуатации данных уязвимостей в реальных условиях, но пользователям все-равно рекомендуется установить обновления как можно скорее.
Критические обновления предназначены для операционных систем Windows, офисного пакета приложений Microsoft Office и нескольких других продуктов. Так, например, уязвимость CVE-2018-1034 на сервере SharePoint позволяла получить злоумышленнику такие же права, как и вошедший в систему пользователь.
Microsoft раскрыла подробности данной проблемы безопасности:
Уязвимость повышения привилегий возникает, когда сервер Microsoft SharePoint некорректно очищает специально созданный веб-запрос. Злоумышленник, прошедший процедуру аутентификации, может произвести эксплуатацию уязвимости, отправив специально созданный запрос на уязвимый сервер.
Патчи для Flash Player
Другая уязвимость ядра Windows также могла приводить к получению повышенных привилегий, но случаи реальной ее эксплуатации не зафиксированы. Киберпреступники, которые провели успешную эксплуатации данную уязвимости, получают полный контроль над системой - уязвимыми 64-битными версиями Windows 7 Service Pack 1 и Windows Server 2008 R2 Service Pack 1.
Компания описала суть проблемы:
Уязвимость повышения прав доступа возникает, когда ядро Windows не может корректно обработать объекты в памяти. Злоумышленник, который сможет выполнить успешную эксплуатацию данной уязвимости, получит возможность запустить произвольный код в режиме ядра. Затем он сможет устанавливать любые приложения, а также просматривать, изменять и удалять данные и создавать новые учетные записи с правами администратора устройства.
Традиционно во Вторник Патчей обновления для своих продуктов выпустила также компания Adobe. Патчи Flash Player будут автоматически доставляться пользователям Windows через Центр обновления, потому что данный продукт уже встроен в системные браузеры Internet Explorer 11 и Microsoft Edge.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5