Вторник Патчей: Microsoft исправила 88 уязвимостей безопасности

2019-06-13 8003 комментарии
В июне Microsoft с помощью ежемесячных обновлений удалось исправить в общей сложности 88 уязвимостей безопасности в своих продуктах, причем 21 из них помечена как критическая

Из 21 критической проблемы, 17 уязвимостей затрагивают скриптовые движки и браузеры (Internet Explorer и Microsoft Edge), поэтому пользователям рекомендуется как можно скорее обновить свои устройства, особенно если они подключены к Интернету.

Три различные уязвимости затрагивают систему виртуализации Hyper-V: CVE-2019-0620, CVE-2019-0709 и CVE-2019-0722. Они позволяют авторизованным в гостевых системах пользователям произвольный код на хосте.

Microsoft раскрывает подробности проблемы:

Уязвимость удаленного исполнения кода проявляется, когда система Hyper-V на хост-сервере не может корректно обработать данные, вводимые авторизированным пользователем в гостевой операционной системе. Для эксплуатации данной уязвимости, атакующему требуется поместить в гостевую систему специально созданное приложение, которое позволит выполнять произвольный код на хост-системе Hyper-V.

Данная проблема не была публично раскрыта, и компания считает очень низкой вероятность подобной атаки в реальных условиях.

Также исправлена уязвимость удаленного исполнения кода в Microsoft Speech API, известная под идентификатором CVE-2019-0985. Данная уязвимость затрагивает операционные системы Windows 7 и Windows Server 2008 R2. Microsoft отмечает, что для проведения атаки злоумышленник должен вынудить пользователя открыть на уязвимой машине специально созданный документ с TTS содержимым.

Microsoft сообщает:

Обнаружена уязвимость удаленного выполнения кода, которая проявляется, когда Microsoft Speech API некорректно обрабатывает речевой ввод текста (преобразование текста в речь). Эта уязвимость приводит к повреждению памяти, в результате чего злоумышленник может выполнить произвольный код в контексте текущего пользователя.

Microsoft также заблокировала сопряжение с ключами Bluetooth Low Energy, имеющими ошибки конфигурации из-за проблемы безопасности ключей FIDO.

Компания объясняет, в чем опасность проблемы:

Из-за некорректной конфигурации протоколов сопряжения Bluetooth, располагаемый физически близко к жертве злоумышленник может взаимодействовать с ключом безопасности или с сопряженным устройством, для которого применен ключ.

На данный момент нет сообщений о неудачных обновлениях. Пользователям рекомендуется установить патчи безопасности как можно скорее, чтобы устранить критические уязвимости.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте