Компания Microsoft приступила к доставке обновлений безопасности в рамках очередного Вторника Патчей (Patch Tuesday).
- Обновление KB4566782 (Build 19041.450) для Windows 10, версия 2004
- Обновление KB4565351 для Windows 10, версия 1909 и 1903
- Обновление KB4565349 (Build 17763.1397) для Windows 10, версия 1809
- Обновления безопасности для Windows 7 и Windows 8.1 (август 2020)
В августе 2020 года компания исправила 120 уязвимости безопасности в 13 своих продуктах, начиная с Edge и Windows и заканчивая SQL Server и .NET Framework.
Среди 120 исправленных уязвимостей, 17 были признаны критическими, а две из них получили статус уязвимости нулевого дня, т.е. случаи их эксплуатации были зарегистрированы до выхода патча.
CVE-2020-1464
Первая из двух исправленных уязвимостей нулевого дня была обнаружена в операционной системе Windows. Уязвимость с идентификатором CVE-2020-1464 позволяла злоумышленникам подделывать цифровые подписи файлов и «обходить механизмы безопасности, служащие для проверки подписанных файлов».
Microsoft традиционно не разглашает технические подробности эксплойта и не приводит данные по случаям реальных атак. Команды безопасности Microsoft используют этот подход, чтобы не предоставлять хакерам необходимую информацию, позволяющую локализовать уязвимость и подготовить другие атаки.
CVE-2020-1380
Вторая уязвимость нулевого дня с идентификатором CVE-2020-1380 обнаружена в движке сценариев Internet Explorer.
Microsoft отмечает, что уязвимость удаленного исполнения кода и случаи ее эксплуатации были обнаружены «Лабораторией Касперского».
Несмотря на то, что ошибка относится к движку сценариев Internet Explorer, она затрагивает и другие продукты Microsoft, например продукты Office. Дело в том, что приложения Microsoft Office используют движок сценариев Internet Explorer для встраивания и отрисовки веб-страниц в документах.
Для проведения атаки злоумышленники должны заманить жертву на вредоносный сайт или отправить модифицированный документ Office.
Все исправления во Вторник Патчей поставляются в едином пакете обновлений, поэтому администраторы не могут выбирать, какие патчи нужно установки, а какие проигнорировать. Администраторам рекомендуется посмотреть список уязвимых продуктов выше принять решение о срочности развертывания исправлений в их организациях.
Системным администраторам рекомендуется протестировать обновления безопасности на предмет потенциальных ошибок перед их развертыванием на основных рабочих системах.
Дополнительная информация по Вторнику патчей:
- На официальном портале Security Update Guide все обновления безопасности перечислены в таблице с сортировкой.
- Adobe выпустила ежемесячные обновления безопасности.
- VMWare выпустила обновления безопасности для своих продуктов.
- Oracle выпустила квартальные обновления безопасности
- Доступны обновления безопасности для Chrome 84.
- Доступны обновления безопасности для Android. Патчи стали поставляться владельцам смартфонов на прошлой неделе.
Последние статьи #Windows
• «Вторник Патчей»: 8 апреля 2025 года Windows 11 и Windows 10 получат обновления безопасности
• Обновление Windows 11 на неподдерживаемом оборудовании с помощью Flyby11
• Релиз Microsoft Edge 135: улучшенная синхронизация данных и исправления безопасности
• Важно знать перед установкой: Известные проблемы в Windows 11, версия 24H2
• Microsoft заблокировала обновление Windows 11, версия 24H2 на ПК с драйвером sprotect.sys из-за критических ошибок
• Microsoft добавляет в Copilot лучшие функции из других ИИ: память, действия в браузере и анализ экрана