Вторник Патчей: Microsoft исправила 36 уязвимостей, в том числе 7 критических

2019-12-11 10692 комментарии
10 декабря 2019 года прошел очередной Вторник Патчей. Во второй вторник месяца Microsoft традиционно выпускает обновления безопасности для своих продуктов

На этот раз компания Microsoft исправила 36 уязвимостей, в том числе угрозу нулевого дня в Windows, случаи эксплуатации которой были зарегистрированы.

В бюллетене по безопасности Microsoft обозначила суть проблемы:

Уязвимость повышения привилегий возникает в системах Windows, когда компонент Win32k некорректно обрабатывает объекты в памяти.

В случае успешной эксплуатации злоумышленник может выполнить произвольный код в режиме ядра. После этого он сможет устанавливать программы, просматривать, изменять и удалять данные или создавать аккаунты с неограниченными правами.

Данная уязвимость с идентификатором CVE-2019-1458 была обнаружена специалистами из «Лаборатории Касперского».

Дастин Чилдс (Dustin Childs) из Trend Micro Zero Day Initiative считает, что данная уязвимость нулевого дня связана с уязвимостью CVE-2019-13720, которая была исправлена в Chrome в конце октября.

Чилдс заявил:

«Лаборатория Касперского» сообщила об уязвимости использования освобожденной памяти (UAF) в Chrome, которая активно эксплуатировалась в сети. Когда данные об уязвимости стали публичными, стала появляться информация о том, что она может быть связана с ошибкой в ядре Windows, позволяющей обойти песочницу.

Хотя нет официальных подтверждений, что данный патч связан с атаками на Chrome, данный тип уязвимости позволяет обойти работу в песочнице.

«Лаборатория Касперского» сообщает, что уязвимость применялась в атаках хакерской группировки WizardOpium. Для проведения атаки использовались специально созданные вредоносные сайты, эксплуатирующие данную проблему безопасности.

«Лаборатория Касперского» подтверждает теорию Чилдса и официально упоминает обе уязвимости в отдельном материале.

Другие исправления

В общей сложности Microsoft исправила 36 уязвимостей безопасности, только 7 из которых признаны критическими. Это самый мало результативный Вторник Патчей за весь год и один самых незначительных за последние три года.

Среди других исправленных проблем: уязвимость удаленного исполнения кода в компоненте Win32k (CVE-2019-1468) и уязвимость удаленного исполнения кода в средствах виртуализации Windows Hyper-V (CVE-2019-1471).

Кроме Windows, улучшения безопасности получили и другие продукты от Microsoft: SQL Server, Visual Studio, Skype для Бизнеса, Microsoft Office, Службы Microsoft Office и веб-приложения Office.

Дополнительная информация по Вторнику Патчей:

  • На официальном портале Security Update Guide все обновления безопасности перечислены в таблице с сортировкой.
  • Дополнительный анализ Вторника Патчей проведен Cisco Talos, SANS ISC, Tenable и Trend Micro.
  • Adobe также выпустила ежемесячные обновления безопасности.
  • Компания Intel также представила обновления безопасности.
  • Доступны обновления безопасности для Android. Патчи стали поставляться владельцам смартфонов на прошлой неделе.
  • Выпущена новая версия Google Chrome с 51 исправлением безопасности.
  • Компания Apple выпустила обновления безопасности для iOS и iPadOS 13.3.
© . По материалам ZDNet
Комментарии и отзывы

Нашли ошибку?

Новое на сайте