629230
13.08.2019 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 93 уязвимости, в том числе 29 критических и 64 высокого уровня опасности. В этом месяце среди них нет уязвимостей «нулевого дня» или тех, информация о которых была разглашена до выпуска обновлений.
Обновления затронули следующие продукты компании: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Microsoft Office Services и Web Apps, ChakraCore, Visual Studio, Online Services, Active Directory, Microsoft Dynamics.
Четыре критические уязвимости (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226) затрагивают службы удаленных рабочих столов (Remote Desktop Services, RDS) всех поддерживаемых версий Windows. Их эксплуатация может позволить злоумышленнику, не прошедшему процедуру аутентификации, удаленно выполнить код, отправив на уязвимый RDS-сервер специально созданный запрос через протокол RDP.
Девять критических уязвимостей затрагивают скриптовые движки (Scripting Engine и Chakra Scripting Engine) и связаны с неправильной обработкой движком объектов в памяти в браузерах Microsoft. Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код с привилегиями текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.
Две критические уязвимости (CVE-2019-1201, CVE-2019-1205) затрагивают Microsoft Word. Они связаны с неправильной обработкой объектов в памяти и могут позволить злоумышленнику удаленно выполнить код. Для этого ему необходимо убедить пользователя открыть специально созданный файл уязвимой версией программного обеспечения Microsoft Word. Панель предварительного просмотра программы Microsoft Outlook также является вектором атаки для указанных уязвимостей.
Остальные критические уязвимости затрагивают Microsoft Graphics Component, Microsoft Windows, Windows Hyper-V, Microsoft Outlook, Windows DHCP, Windows VBScript Engine. Их эксплуатация может позволить злоумышленнику выполнить произвольный код и в ряде случаев получить полный контроль над целевой системой.
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, провести атаки типов «межсайтовое выполнение сценариев» (XSS) и «отказ в обслуживании».
Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
