Microsoft выпустила обновления для своих продуктов

Microsoft выпустила обновления для своих продуктов

Microsoft выпустила обновления для своих продуктов

10.03.2020 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 115 уязвимостей, в том числе 26 критических и 88 высокого уровня опасности. Ни одна из них не относится к уязвимостям «нулевого дня».

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Edge (EdgeHTML-based), Microsoft Edge (Chromium-based), ChakraCore, Internet Explorer, Microsoft Exchange Server, Microsoft Office, Microsoft Office Services и Web Apps, Azure DevOps, Windows Defender, Visual Studio, Open Source Software, Azure, Microsoft Dynamics.

Критическая уязвимость CVE-2020-0852 затрагивает Microsoft Word и связана с удаленным выполнением кода. Важно отметить, что для эксплуатации этой уязвимости не требуется открытия специально созданного злоумышленником файла, для выполнения кода с правами текущего пользователя будет достаточно, если пользователь просмотрит такой файл на панели предварительного просмотра Microsoft Outlook.

Критическая уязвимость CVE-2020-0905 затрагивает Microsoft Dynamics Business Central и позволяет удаленному злоумышленнику выполнить произвольные команды оболочки в целевой системе. Для эксплуатации уязвимости злоумышленник, прошедший процедуру аутентификации, должен убедить пользователя подключиться к вредоносному клиенту Dynamics Business Central или повысить системные разрешения для выполнения кода.

Критическая уязвимость CVE-2020-0684 затрагивает Microsoft Windows и связана с ошибкой при обработке файлов с расширением .LNK. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и текущий пользователь. Эксплуатация уязвимости может позволить ему выполнить произвольный код.

Четыре критические уязвимости затрагивают Windows Media Foundation и связаны с неправильной обработкой объектов в памяти. Злоумышленник, воспользовавшийся этой уязвимостью, сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя открыть специально созданный документ или посетить вредоносную веб-страницу.

Восемь критических уязвимостей затрагивают скриптовый движок ChakraCore и связаны с неправильной обработкой объектов в памяти. Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код с правами текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Девять критических уязвимостей удаленного выполнения кода затрагивают браузеры Microsoft и связаны с неправильной обработкой объектов в памяти.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, провести атаки типов «отказ в обслуживании» и «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.