Новости

Microsoft устранила уязвимости в своих продуктах

10.04.2019
Microsoft устранила уязвимости в своих продуктах

09.04.2019 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 74 уязвимости, в том числе 13 критических и 61 высокого уровня опасности. К последним относятся две уязвимости «нулевого дня», которые активно эксплуатируются злоумышленниками.

Обновления затронули следующие продукты компании: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Microsoft Office Services и Web Apps, .NET Framework, ASP.NET, Exchange Server, Visual Studio, Skype for Business, Azure DevOps Server, Open Enclave SDK, Team Foundation Server.

Уязвимости «нулевого дня» (CVE-2019-0803 и CVE-2019-0859) затрагивают компонент Win32k операционной системы Windows и могут быть использованы злоумышленником для повышения привилегий и дальнейшего выполнения произвольного кода в режиме ядра на целевом компьютере.

Семь критических уязвимостей (CVE-2019-0739, CVE-2019-0806, CVE-2019-0810, CVE-2019-0812, CVE-2019-0829, CVE-2019-0860, CVE-2019-0861) затрагивают скриптовые движки (Scripting Engine и Chakra Scripting Engine) и связаны с неправильной обработкой движком объектов в памяти в браузере Microsoft Edge. Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код с привилегиями текущего пользователя. В случае, если пользователь имеет права администратора, злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Остальные критические уязвимости затрагивают набор служб Microsoft XML Core Services (MSXML), Microsoft Server Message Block (SMB) Server, интерфейс Windows IoleCvt, интерфейс графических устройств Windows Graphics Device Interface (GDI) и могут позволить злоумышленнику обойти ограничения безопасности, повысить привилегии, выполнить произвольный код и получить полный контроль над целевой системой.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, провести атаку типа «межсайтовое выполнение сценариев» (XSS), вызвать ошибку типа «отказ в обслуживании».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.