Microsoft выпустила обновления для своих продуктов

Microsoft выпустила обновления для своих продуктов

11.03.2020
Microsoft выпустила обновления для своих продуктов

10.03.2020 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 115 уязвимостей, в том числе 26 критических и 88 высокого уровня опасности. Ни одна из них не относится к уязвимостям «нулевого дня».

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Edge (EdgeHTML-based), Microsoft Edge (Chromium-based), ChakraCore, Internet Explorer, Microsoft Exchange Server, Microsoft Office, Microsoft Office Services и Web Apps, Azure DevOps, Windows Defender, Visual Studio, Open Source Software, Azure, Microsoft Dynamics.

Критическая уязвимость CVE-2020-0852 затрагивает Microsoft Word и связана с удаленным выполнением кода. Важно отметить, что для эксплуатации этой уязвимости не требуется открытия специально созданного злоумышленником файла, для выполнения кода с правами текущего пользователя будет достаточно, если пользователь просмотрит такой файл на панели предварительного просмотра Microsoft Outlook.

Критическая уязвимость CVE-2020-0905 затрагивает Microsoft Dynamics Business Central и позволяет удаленному злоумышленнику выполнить произвольные команды оболочки в целевой системе. Для эксплуатации уязвимости злоумышленник, прошедший процедуру аутентификации, должен убедить пользователя подключиться к вредоносному клиенту Dynamics Business Central или повысить системные разрешения для выполнения кода.

Критическая уязвимость CVE-2020-0684 затрагивает Microsoft Windows и связана с ошибкой при обработке файлов с расширением .LNK. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и текущий пользователь. Эксплуатация уязвимости может позволить ему выполнить произвольный код.

Четыре критические уязвимости затрагивают Windows Media Foundation и связаны с неправильной обработкой объектов в памяти. Злоумышленник, воспользовавшийся этой уязвимостью, сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя открыть специально созданный документ или посетить вредоносную веб-страницу.

Восемь критических уязвимостей затрагивают скриптовый движок ChakraCore и связаны с неправильной обработкой объектов в памяти. Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код с правами текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Девять критических уязвимостей удаленного выполнения кода затрагивают браузеры Microsoft и связаны с неправильной обработкой объектов в памяти.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, провести атаки типов «отказ в обслуживании» и «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.