Среди 9 критических уязвимостей, 6 проблем безопасности с идентификаторами CVE-2018-8583, CVE-2018-8617, CVE-2018-8618, CVE-2018-8624, CVE-2018-8634 и CVE-2018-8629 являются уязвимостями повреждения памяти в JScript движке Chakra.
Расположенные удаленно злоумышленники могли исполнять произвольный код на подверженных данным 6 уязвимостям машинах после успешной эксплуатации, в которой был задействован специальный подконтрольный им контент на сайте, перенаправляющий пользователя на вредоносную веб-страницу во время сеанса Microsoft Edge.
Остальные три критические уязвимости с идентификаторами CVE-2018-8540, CVE-2018-8626 и CVE-2018-8631 связаны с удаленной инъекцией произвольного кода в Microsoft .NET Framework, удаленным выполнением кода за счет эксплуатации ошибок в серверах Windows DNS и Internet Explorer соответственно.
Атакующие могли получить полный контроль над устройствами, затронутыми уязвимостью в фреймворке Microsoft .NET. Для этого могли использоваться специальные поля ввода, отображаемые в приложениях, использующих уязвимые методы .NET.
Уязвимости удаленного исполнения кода в серверах Windows DNS и Internet Explorer позволяли злоумышленникам выполнить произвольный код на затронутых системах в контексте авторизованного пользователя.
Согласно внутренней классификации Microsoft, критические уязвимости связаны с сетевыми червями или сценариями обычного использования, когда компрометация клиентской машины происходит без каких-либо предупреждений и запросов.
Microsoft исправила также несколько десятков уязвимостей, помеченных как важные. Они также могли приводить к удаленному исполнению кода и затрагивали несколько программных продуктов, начиная от пакета продуктивности Microsoft Office и заканчивая движком VBScript в Internet Explorer.
Вообще говоря, в декабре Microsoft исправила проблемы безопасности, затрагивающие следующие продукты и сервисы: Adobe Flash Player, Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office и Службы Microsoft Office и веб-приложения, ChakraCore, .NET Framework, Microsoft Dynamics NAV, Microsoft Exchange Server, Microsoft Visual Studio и Windows Azure Pack (WAP).
Последние статьи #Windows
• Обновление KB5055642 (Build 26200.5562) для Windows 11, версия 24H2 (Dev)
• Обновление KB5055640 (Build 26120.3872) для Windows 11, версия 24H2 (Beta)
• Обновление Windows 11 на неподдерживаемом оборудовании с помощью Flyby11
• Microsoft Copilot научился создавать подкасты с ИИ-ведущими
• Зачем нужен TPM 2.0? Microsoft объясняет, почему Windows 11 безопаснее Windows 10
• Обновление KB5055627 (Build 26100.3909) Preview для Windows 11, версия 24H2