Самая серьезная проблема безопасности связана с уязвимостью в CryptoAPI (Crypt32.dll), основной криптографической библиотеке Windows. Данная проблема была обнаружена Агентством Национальной Безопасности США. Именно ведомство проинформировало Microsoft о своей находке.
Уязвимость, получившая идентификатор CVE-2020-0601, представляет серьезную опасность. Она позволяют атакующему лицу подделывать цифровые подписи и запускать MITM-атаки («человек посередине») в зашифрованных по HTTPS подключениях.
Еще две важные уязвимости с идентификаторами CVE-2020-0609 и СVE-2020-0610 были обнаружены в серверных операционных системах – Windows Server 2016 и Windows Server 2012. Согласно Microsoft, работающий в этих системах компонент Windows Remote Desktop Gateway (RD Gateway) содержит уязвимости удаленного исполнения кода, которая позволяет киберпреступнику получить контроль над уязвимым сервером за счет установления RDP-подключения и отправки определенных запросов. Эксплуатация осуществляется до момента аутентификации и не требует участия владельца сервера.
В целом, данный Вторник Патчей оказался менее результативным, чем большинство Вторников Патчей 2019 года. Тем не менее, рассмотренные три уязвимости требуют немедленного развертывания обновлений безопасности.
Пользователям рекомендует скачать и установить данные патчи как можно скорее.
Кроме Windows, Microsoft выпустила исправления и для других своих продуктов: Internet Explorer, ASP.NET, .NET Framework, Microsoft Dynamics, OneDrive для Android, Microsoft Office и службы и веб-приложения Microsoft Office.
Дополнительная информация по Вторнику Патчей:
- На официальном портале Security Update Guide все обновления безопасности перечислены в таблице с сортировкой.
- Дополнительный анализ Вторника Патчей проведен SANS ISC и Trend Micro.
- Adobe также выпустила ежемесячные обновления безопасности.
- Компания VMWare выпустила исправления для своих продуктов – here и here.
- Компания Intel также представила обновления безопасности.
- Вышли критические патчи Q1 от Oracle.
- Доступны обновления безопасности для Android. Патчи стали поставляться владельцам смартфонов на прошлой неделе.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5