Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

14.04.2020 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 113 уязвимостей, в том числе 17 критических и 96 уязвимостей высокого уровня опасности, среди которых - три уязвимости «нулевого дня».

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Edge (EdgeHTML-based), Microsoft Edge (Chromium-based), ChakraCore, Internet Explorer, Microsoft Office and Microsoft Office Services and Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps for Android, Microsoft Apps for Mac.

Две уязвимости «нулевого дня» CVE-2020-1020, CVE-2020-0938 затрагивают библиотеку Adobe Type Manager в операционных системах Windows (кроме Windows 10) и Windows Server и позволяют удаленному злоумышленнику запустить произвольный код.

Третья уязвимость «нулевого дня» CVE-2020-1027 затрагивает ядро Windows позволяет злоумышленнику повысить привилегии и выполнить произвольный код.

Критическая уязвимость CVE-2020-0687 связана с неправильной обработкой библиотекой Windows созданных встроенных шрифтов. Воспользовавшись этой уязвимостью, злоумышленник может получить полный контроль над целевой системой и выполнить произвольный код.

Критическая уязвимость CVE-2020-0907 в Microsoft Graphics Components позволяет злоумышленнику выполнить произвольный код. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя открыть специально созданный документ.

Критическая уязвимость CVE-2020-0910 в Windows Hyper-V связана с некорректной проверкой аутентификационных данных на хост-сервере и позволяет злоумышленнику выполнить произвольный код.

Три критические уязвимости CVE-2020-0929, CVE-2020-0931, CVE-2020-0932 в Microsoft SharePoint связаны с некорректной проверкой разметки файла приложения. Эксплуатация данных уязвимостей возможна, если пользователь загрузит специально созданный пакет приложени SharePoint в уязвимую версию SharePoint.

Три критические уязвимости CVE-2020-0948, CVE-2020-0949, CVE-2020-0950 в Windows Media Foundation связаны с неправильной обработкой объектов в памяти и позволяют злоумышленнику выполнить произвольный код. Для эксплуатации уязвимостей злоумышленнику необходимо убедить пользователя открыть специально созданный документ или посетить вредоносную веб-страницу.

Критическая уязвимость CVE-2020-0965 в Microsoft Windows Codecs Library связана с обработкой объектов в памяти и позволяет злоумышленнику выполнить произвольный код. Для эксплуатации уязвимости необходимо чтобы программа обработала специальный файл изображения.

Две критические уязвимости CVE-2020-0967 и CVE-2020-0968 в механизме VBScript и в обработчике сценариев Internet Explorer соответственно, обрабатывающих объекты в памяти, позволяют злоумышленнику повредить память, получить те же права, что и текущий пользователь или выполнить произвольный код. Для эксплуатации уязвимостей злоумышленнику необходимо убедить пользователя открыть специально созданный документ или посетить вредоносную веб-страницу.

Две критические уязвимости CVE-2020-0969 и CVE-2020-0970 затрагивают скриптовый движок ChakraCore и связаны с неправильной обработкой объектов в памяти. Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код с правами текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Критическая уязвимость CVE-2020-1022 в Microsoft Dynamics Business Central позволяет злоумышленнику выполнить произвольные shell-команды на сервере жертвы. Для эксплуатации уязвимостей злоумышленнику необходимо убедить пользователя подключиться к вредоносному клиенту Dynamics Business Central или повысить разрешения системы для выполнения кода.

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.