Новости

Microsoft устранила уязвимости в своих продуктах

13.02.2019
Microsoft устранила уязвимости в своих продуктах

12.02.2019 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 50 уязвимостей, в том числе 14 критических и 34 высокого уровня опасности.

Обновления затронули следующие продукты компании: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Microsoft Office Services, Web Apps, ChakraCore, .NET Framework, Microsoft Exchange Server, Microsoft Visual Studio, Azure IoT SDK, Microsoft Dynamics, Team Foundation Server, Visual Studio Code.

Серьезная критическая уязвимость удаленного выполнения кода (CVE-2018-0852) исправлена в Microsoft Outlook. Уязвимость связана с повреждением памяти. Её опасность состоит в том, что простой просмотр электронного письма на панели предварительного просмотра может привести к выполнению кода злоумышленником, пользователю не нужно открывать сообщение или переходить по какой-либо ссылке.

Большинство критических уязвимостей затрагивают скриптовый движок (Scripting Engine) и связаны с неправильной обработкой движком объектов в памяти в браузере Microsoft Edge. Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код с привилегиями текущего пользователя. В случае, если пользователь имеет права администратора, злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Ещё одна уязвимость, исправленная в Microsoft Outlook, связана с возможностью повышения привилегий. Уязвимость возникает из-за неправильной обработки входящих сообщений и позволяет злоумышленнику отправить пользователю специально сконфигурированное сообщение через протокол SMB, содержимое которого Outlook загрузит сразу же при получении.

Информация об уязвимости высокого уровня опасности (CVE-2019-0771), затрагивающей браузер Microsoft Edge, стала общедоступной до выпуска обновлений. Указанная уязвимость связана с обходом ограничений безопасности и может позволить злоумышленнику отправлять через браузер данные, относящиеся к сведениям ограниченного распространения.

Остальные уязвимости позволяют повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, вызвать ошибку типа «отказ в обслуживании».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.