Microsoft выпустила обновления для своих продуктов

Microsoft выпустила обновления для своих продуктов

12.02.2020
Microsoft выпустила обновления для своих продуктов

11.02.2020 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 99 уязвимостей, в том числе 12 критических и 87 высокого уровня опасности. Информация о пяти уязвимостях стала общедоступной до выхода обновлений, а одна из критических уязвимостей в настоящее время используется в ходе компьютерных атак.

Обновления затронули следующие продукты компании: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Microsoft Office Services и Web Apps, ChakraCore, Microsoft Exchange Server, Microsoft SQL Server, Windows Malicious Software Removal Tool, Windows Surface Hub.

Критическая уязвимость, используемая в ходе компьютерных атак (CVE-2020-0674), затрагивает браузер Internet Explorer и связана с неправильной обработкой объектов в памяти скриптовым движком. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код с правами текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Критическая уязвимость CVE-2020-0729 затрагивает Microsoft Windows и связана с ошибкой при обработке файлов с расширением .LNK. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить те же права, что и текущий пользователь. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код.

Критическая уязвимость CVE-2020-0738 затрагивает Windows Media Foundation и связана с неправильной обработкой объектов в памяти. Злоумышленник, успешно воспользовавшийся этой уязвимостью, сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя открыть специально созданный документ или посетить вредоносную веб-страницу.

Две критические уязвимости (CVE-2020-0681 и CVE-2020-0734) затрагивают клиент удаленного рабочего стола Windows Remote Desktop Client и позволяют злоумышленнику выполнить произвольный код в целевой системе. После этого он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя подключиться к вредоносному серверу.

Пять критических уязвимостей затрагивают скриптовый движок ChakraCore и связаны с неправильной обработкой объектов в памяти. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код с правами текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Ещё две критические уязвимости удаленного выполнения кода затрагивают Microsoft Windows и браузер Internet Explorer. Обе уязвимости связаны с неправильной обработкой объектов в памяти.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, провести атаки типов «отказ в обслуживании» и «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.