Из 21 критической проблемы, 17 уязвимостей затрагивают скриптовые движки и браузеры (Internet Explorer и Microsoft Edge), поэтому пользователям рекомендуется как можно скорее обновить свои устройства, особенно если они подключены к Интернету.
Три различные уязвимости затрагивают систему виртуализации Hyper-V: CVE-2019-0620, CVE-2019-0709 и CVE-2019-0722. Они позволяют авторизованным в гостевых системах пользователям произвольный код на хосте.
Microsoft раскрывает подробности проблемы:
Уязвимость удаленного исполнения кода проявляется, когда система Hyper-V на хост-сервере не может корректно обработать данные, вводимые авторизированным пользователем в гостевой операционной системе. Для эксплуатации данной уязвимости, атакующему требуется поместить в гостевую систему специально созданное приложение, которое позволит выполнять произвольный код на хост-системе Hyper-V.
Данная проблема не была публично раскрыта, и компания считает очень низкой вероятность подобной атаки в реальных условиях.
Также исправлена уязвимость удаленного исполнения кода в Microsoft Speech API, известная под идентификатором CVE-2019-0985. Данная уязвимость затрагивает операционные системы Windows 7 и Windows Server 2008 R2. Microsoft отмечает, что для проведения атаки злоумышленник должен вынудить пользователя открыть на уязвимой машине специально созданный документ с TTS содержимым.
Microsoft сообщает:
Обнаружена уязвимость удаленного выполнения кода, которая проявляется, когда Microsoft Speech API некорректно обрабатывает речевой ввод текста (преобразование текста в речь). Эта уязвимость приводит к повреждению памяти, в результате чего злоумышленник может выполнить произвольный код в контексте текущего пользователя.
Microsoft также заблокировала сопряжение с ключами Bluetooth Low Energy, имеющими ошибки конфигурации из-за проблемы безопасности ключей FIDO.
Компания объясняет, в чем опасность проблемы:
Из-за некорректной конфигурации протоколов сопряжения Bluetooth, располагаемый физически близко к жертве злоумышленник может взаимодействовать с ключом безопасности или с сопряженным устройством, для которого применен ключ.
На данный момент нет сообщений о неудачных обновлениях. Пользователям рекомендуется установить патчи безопасности как можно скорее, чтобы устранить критические уязвимости.
Последние статьи #Windows
• Microsoft уберёт смайлик и QR-код с «экрана смерти» в Windows 11
• Microsoft тестирует новый инструмент для удаленного устранения сбоев загрузки Windows 11
• Забудьте про BYPASSNRO: найден новый способ обхода требования учётной записи Microsoft и интернета для установки Windows 11
• Microsoft тестирует функцию «Быстрое восстановление машины» – удалённое исправление сбоев загрузки Windows 11
• Microsoft усложнила установку Windows 11 без Интернета — отключена команда OOBEBYPASSNRO, но обход всё ещё возможен
• Обновление KB5053658 (Build 26120.3653) для Windows 11, версия 24H2 (Beta)