• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости Microsoft исправила ряд уязвимостей в своих продуктах

Microsoft исправила ряд уязвимостей в своих продуктах

10.01.2017 в рамках «вторника обновлений» компания Microsoft выпустила четыре бюллетеня безопасности, два из которых имеют статус критических (MS17-002, MS17-003).

10.01.2017 в рамках «вторника обновлений» компания Microsoft выпустила четыре бюллетеня безопасности, два из которых имеют статус критических (MS17-002, MS17-003).

Бюллетень безопасности Microsoft MS17-001

Бюллетень описывает уязвимость в браузере Microsoft Edge.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS17-001.

  2. Описание угрозы:

    Уязвимость повышения привилегий – CVE-2017-0002:
    Уязвимость повышения привилегий возникает, когда браузер Microsoft Edge неправильно осуществляет кроссдоменные политики, и может позволить злоумышленнику получить доступ к информации из одного домена и ввести ее в другой домен.

    Для эксплуатации уязвимостей злоумышленник может убедить пользователя посетить специально созданный вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен обманным путем убедить пользователя посетить вредоносный сайт.

  3. Список уязвимых компонентов: ОС Windows 10, Server 2016.

  4. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3214288, выпущенного 10 января 2017 года.

Бюллетень безопасности Microsoft MS17-002

Бюллетень описывает уязвимость в Microsoft Office.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS17-002.

  2. Описание угрозы:

    Уязвимость удаленного выполнения кода – CVE-2017-0003:
    Уязвимость удаленного выполнения кода возникает в программе Microsoft Office, когда она неправильно обрабатывает объекты в памяти. Злоумышленник, который успешно проэксплуатировал уязвимость, может получить те же привилегии, что и текущий пользователь. Если текущий пользователь авторизован с административными правами, злоумышленник может получить полный контроль над уязвимой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Пользователи с меньшими правами менее подвержены уязвимости, чем пользователи с правами администратора.

    Эксплуатация уязвимости требует открытия пользователем специально созданного файла с помощью уязвимой версии Microsoft Office. В сценарии атаки по электронной почте злоумышленник может проэксплуатировать уязвимость, прислав пользователю специально созданный файл и убедив его открыть данный файл. В сценарии веб-атаки злоумышленник может разместить сайт (или воспользоваться скомпрометированным сайтом), содержащим вредоносный файл, разработанный для эксплуатирования уязвимости. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление устраняет уязвимость, корректируя то, как Office обрабатывает объекты в памяти.

  3. Список уязвимых компонентов: Microsoft Office 2016, Microsoft SharePoint Enterprise Server 2016.

  4. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3214291, выпущенного 10 января 2017 года.

Бюллетень безопасности Microsoft MS17-003

Бюллетень описывает критические уязвимости в Adobe Flash Player.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS17-003.

  2. Описание угрозы:

    Это обновление безопасности описывает уязвимости в Adobe Flash Player, установленном на всех поддерживаемых версиях Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016. Описания уязвимостей приведены в бюллетене безопасности Adobe APSB17-02.

    Уязвимости в Adobe Flash Player устраняются за счет обновления уязвимых библиотек Adobe Flash, содержащихся в Internet Explorer 10, Internet Explorer 11 и Microsoft Edge.

  3. Список уязвимых компонентов: ОС Windows версий 8.1, RT 8.1, 10, Server 2012, Server 2012 R2, Server 2016.

  4. Рекомендации для системного администратора:
    Уязвимости устраняются посредством установки обновления безопасности KB3214628, выпущенного 10 января 2017 года.

Бюллетень безопасности Microsoft MS17-004

Бюллетень описывает уязвимость, связанную с работой службы Local Security Authority Subsystem Service (LSASS).

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS17-004.

  2. Описание угрозы:

    Уязвимость – CVE-2017-0004:
    Уязвимость, приводящая к ошибке типа «отказ в обслуживании», связана с обработкой аутентификационных запросов службой LSASS. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может запустить автоматическую перезагрузку целевой системы.

    Для эксплуатации уязвимости неавторизованный в системе злоумышленник может отправить специально сформированный запрос на аутентификацию.

    Данное обновление безопасности устраняет уязвимость, изменяя способ, которым LSASS обрабатывает аутентификационные запросы.

  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, Server 2008, Server 2008 R2.

  4. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3216771, выпущенного 10 января 2017 года.

«Лаборатория Касперского»: Android-троян атакует Wi-Fi-сети Adobe устранила множественные уязвимости в своих продуктах
Все новости

Другие материалы

06.02.2018
Google устранила уязвимости в ОС Android Новости
07.11.2016
SOC-Forum 2016 Новости
09.10.2017
Apple устранила множественные уязвимости в своих продуктах Новости
10.05.2018
Microsoft устранила уязвимости в своих продуктах Новости
01.03.2017
«Лаборатория Касперского» опубликовала отчет о мобильных угрозах за 2016 год Новости
11.09.2019
Microsoft устранила уязвимости в своих продуктах Новости

Специалистам

Пользователям

Следите за нами в социальных сетях:

Сайт создан при поддержке Национального координационного центра по компьютерным инцидентам (НКЦКИ). На его страницах собраны рекомендации специалистов по защите устройств, справочные материалы, занимательные ролики и прочая информация по вопросам информационной безопасности, которая будет полезна любому пользователю сети Интернет. Всё самое актуальное для вас на нашем сайте! Подробнее о проекте читайте здесь.

логотип

Безопасность пользователей в сети интернет

© Safe-surf Все права защищены, 2013 — 2025.