573138
10.10.2017 компания Microsoft выпустила ежемесячное обновление для своих продуктов, опубликовав бюллетени безопасности, исправляющие свыше 60 уязвимостей, в том числе 27 критических. Обновление затронуло следующие продукты компании: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Microsoft Office Services, Web Apps, Skype for Business and Lync, Chakra Core.
Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код, получить повышенные привилегии, обойти механизмы защиты, просмотреть конфиденциальную информацию или вызвать ошибку типа «отказ в обслуживании» (DoS).
Одна из исправленных уязвимостей (CVE-2017-11826) является уязвимостью «нулевого дня» и ранее использовалась злоумышленниками в ходе проведения компьютерных атак. Указанная уязвимость затрагивает Office Word и может позволить злоумышленнику удаленно выполнить произвольный код, получить контроль над уязвимой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи с меньшими правами менее подвержены уязвимостям, чем пользователи с правами администратора.
Октябрьские обновления также устраняют две другие уязвимости «нулевого дня»: CVE-2017-11777 и CVE-2017-8703. Первая затрагивает Microsoft Office SharePoint и позволяет выполнить атаку типа «межсайтовое выполнение сценариев» (XSS). Вторая затрагивает подсистему Windows для приложений на базе Linux и связана с возможностью вызова ошибки типа «отказ в обслуживании» (DoS).
Ещё одна критическая уязвимость (CVE-2017-11779) содержится в библиотеке Windows DNSAPI.dll, используемой DNS-серверами. Уязвимость может позволить злоумышленнику выполнить произвольный код в контексте учетной записи локальной системы.
Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
