529574
Бюллетень безопасности Microsoft MS17-001
Бюллетень описывает уязвимость в браузере Microsoft Edge.
- Номер бюллетеня в соответствии с классификацией компании Microsoft: MS17-001.
- Описание угрозы:
Уязвимость повышения привилегий – CVE-2017-0002:
Уязвимость повышения привилегий возникает, когда браузер Microsoft Edge неправильно осуществляет кроссдоменные политики, и может позволить злоумышленнику получить доступ к информации из одного домена и ввести ее в другой домен. Для эксплуатации уязвимостей злоумышленник может убедить пользователя посетить специально созданный вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен обманным путем убедить пользователя посетить вредоносный сайт. - Список уязвимых компонентов: ОС Windows 10, Server 2016.
- Рекомендации для системного администратора:
Уязвимость устраняется только посредством установки обновления безопасности KB3214288, выпущенного 10 января 2017 года.
Бюллетень безопасности Microsoft MS17-002
Бюллетень описывает уязвимость в Microsoft Office.
- Номер бюллетеня в соответствии с классификацией компании Microsoft: MS17-002.
- Описание угрозы:
Уязвимость удаленного выполнения кода – CVE-2017-0003:
Уязвимость удаленного выполнения кода возникает в программе Microsoft Office, когда она неправильно обрабатывает объекты в памяти. Злоумышленник, который успешно проэксплуатировал уязвимость, может получить те же привилегии, что и текущий пользователь. Если текущий пользователь авторизован с административными правами, злоумышленник может получить полный контроль над уязвимой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи с меньшими правами менее подвержены уязвимости, чем пользователи с правами администратора. Эксплуатация уязвимости требует открытия пользователем специально созданного файла с помощью уязвимой версии Microsoft Office. В сценарии атаки по электронной почте злоумышленник может проэксплуатировать уязвимость, прислав пользователю специально созданный файл и убедив его открыть данный файл. В сценарии веб-атаки злоумышленник может разместить сайт (или воспользоваться скомпрометированным сайтом), содержащим вредоносный файл, разработанный для эксплуатирования уязвимости. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера. Обновление устраняет уязвимость, корректируя то, как Office обрабатывает объекты в памяти. - Список уязвимых компонентов: Microsoft Office 2016, Microsoft SharePoint Enterprise Server 2016.
- Рекомендации для системного администратора:
Уязвимость устраняется только посредством установки обновления безопасности KB3214291, выпущенного 10 января 2017 года.
Бюллетень безопасности Microsoft MS17-003
Бюллетень описывает критические уязвимости в Adobe Flash Player.
- Номер бюллетеня в соответствии с классификацией компании Microsoft: MS17-003.
- Описание угрозы: Это обновление безопасности описывает уязвимости в Adobe Flash Player, установленном на всех поддерживаемых версиях Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016. Описания уязвимостей приведены в бюллетене безопасности Adobe APSB17-02. Уязвимости в Adobe Flash Player устраняются за счет обновления уязвимых библиотек Adobe Flash, содержащихся в Internet Explorer 10, Internet Explorer 11 и Microsoft Edge.
- Список уязвимых компонентов: ОС Windows версий 8.1, RT 8.1, 10, Server 2012, Server 2012 R2, Server 2016.
- Рекомендации для системного администратора:
Уязвимости устраняются посредством установки обновления безопасности KB3214628, выпущенного 10 января 2017 года.
Бюллетень безопасности Microsoft MS17-004
Бюллетень описывает уязвимость, связанную с работой службы Local Security Authority Subsystem Service (LSASS).
- Номер бюллетеня в соответствии с классификацией компании Microsoft: MS17-004.
- Описание угрозы:
Уязвимость – CVE-2017-0004:
Уязвимость, приводящая к ошибке типа «отказ в обслуживании», связана с обработкой аутентификационных запросов службой LSASS. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может запустить автоматическую перезагрузку целевой системы. Для эксплуатации уязвимости неавторизованный в системе злоумышленник может отправить специально сформированный запрос на аутентификацию. Данное обновление безопасности устраняет уязвимость, изменяя способ, которым LSASS обрабатывает аутентификационные запросы. - Список уязвимых компонентов: ОС Windows версий Vista, 7, Server 2008, Server 2008 R2.
- Рекомендации для системного администратора:
Уязвимость устраняется только посредством установки обновления безопасности KB3216771, выпущенного 10 января 2017 года.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru

Другие материалы
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
