Новости

Microsoft устранила уязвимости в своих продуктах

12.12.2018
Microsoft устранила уязвимости в своих продуктах

11.11.2018 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 39 уязвимостей, в том числе 9 критических и 30 — высокого уровня опасности. Информация об одной уязвимости высокого уровня опасности на момент выпуска обновлений была публично разглашена, ещё одна уязвимость — активно эксплуатируется злоуиышленниками.

Обновления затронули следующие продукты компании: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Microsoft Office Services, Web Apps, ChakraCore, .NET Framework, Microsoft Dynamics NAV, Microsoft Exchange Server, Microsoft Visual Studio, Windows Azure Pack (WAP).

Большая часть критических уязвимостей (5 из 9) затрагивает движок Chakra JavaScript. Эти уязвимости связаны с неправильной обработкой движком объектов в памяти в браузере Microsoft Edge. Остальные критические уязвимости затрагивают .NET Framework, Windows DNS Server, Internet Explorer. Их эксплуатация может привести к внедрению вредоносного кода, переполнению буфера и удаленному выполнению произвольного кода злоумышленником.

Уязвимость высокого уровня опасности CVE-2018-8611 в ядре Windows является уязвимостью «нулевого дня» и ранее использовалась злоумышленниками в ходе проведения компьютерных атак. Указанная уязвимость связана с повышением привилегий и возникает из-за неправильной обработки объектов в памяти. Уязвимость может позволить злоумышленнику удаленно выполнить произвольный код, получить контроль над уязвимой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Информация об уязвимости CVE-2018-8517, затрагивающей .NET Framework, стала общедоступной до выпуска обновлений. Указанная уязвимость может вызвать ошибку типа «отказ в обслуживании» и может быть проэксплуатирована удаленно, без аутентификации.

Остальные уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, провести атаку типа «межсайтовое выполнение сценариев» (XSS), вызвать ошибку типа «отказ в обслуживании».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.