Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах
12.05.2020 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 111 уязвимостей, в том числе 16 критического уровня опасности.

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Edge, Microsoft Office, Microsoft Edge, ChakraCore, Internet Explorer, Visual Studio.

Уязвимости CVE-2020-1023, CVE-2020-1024 и CVE-2020-1102 связаны с неправильной обработкой разметки пакетов приложения в Microsoft SharePoint. Для их эксплуатации пользователь должен загрузить специально созданный пакет приложений SharePoint в уязвимую систему. Воспользовавшись этой уязвимостью, злоумышленник может получить полный контроль над целевой системой и выполнить произвольный код.

Уязвимость CVE-2020-1028 в операционных системах Microsoft Windows 10 и Windows Server связана с неправильной обработкой объектов в памяти и позволяет злоумышленнику выполнить произвольный код. Для её эксплуатации злоумышленнику необходимо убедить пользователя открыть специально созданный документ или посетить вредоносную веб-страницу.

Уязвимости CVE-2020-1037 и CVE-2020-1065 в Microsoft Edge связаны с повреждением памяти, возникающим при обработке скриптовым движком ChakraCore данных в браузере. Воспользовавшись уязвимостями, злоумышленник может получить полный контроль над целевой системой и выполнить произвольный код. Для эксплуатации уязвимостей злоумышленнику необходимо убедить пользователя открыть специально созданный документ или посетить вредоносную веб-страницу.

Уязвимость CVE-2020-1056 в Microsoft Edge связана с некорректным использованием междоменных политик. Для её эксплуатации злоумышленнику необходимо убедить пользователя посетить специально созданную вредоносную веб-страницу или щелкнуть по вредоносному содержимому легитимной страницы. Эксплуатация уязвимости может позволить злоумышленнику повысить привилегии и получить доступ к информации из одного домена и перенести её в другой.

Уязвимость CVE-2020-1062 в Internet Explorer связана с неправильным обращением к объектам в памяти. Её эксплуатация может позволить злоумышленнику выполнять произвольный код, устанавливать программы, просматривать, изменять или удалять данные, создать новые учетные записи с полными правами пользователя. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя посетить специально созданную вредоносную веб-страницу.

Уязвимость CVE-2020-1064 в Internet Explorer связана с неправильной проверкой кода движком MSHTML. Для её эксплуатации пользователь должен открыть специально созданный злоумышленником вредоносный файл. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код.

Уязвимость CVE-2020-1069 в Microsoft SharePoint Server связана с неправильным определением и фильтрацией небезопасных веб-элементов управления ASP.Net. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код.

Уязвимость CVE-2020-1093 в Internet Explorer связана с ошибкой обработки скриптовым движком VBScript объектов в памяти. Для её эксплуатации злоумышленнику необходимо убедить пользователя открыть специально созданный вредоносный файл или посетить вредоносную веб-страницу. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код, устанавливать программы, просматривать, изменять или удалять данные, или создать новые учетные записи с полными правами пользователя.

Уязвимость CVE-2020-1117 в Microsoft Windows 10 и Windows Server связана со способом, которым модуль управления цветом (ICM32.dll) обрабатывает объекты в памяти. Уязвимость может вызвать повреждение памяти, а для ее эксплуатации злоумышленнику необходимо убедить пользователя посетить специально созданную вредоносную веб-страницу. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код, устанавливать программы, просматривать, изменять или удалять данные, или создать новые учетные записи с полными правами пользователя.

Уязвимости CVE-2020-1126 и CVE-2020-1136 в Microsoft Windows 10 и Windows Server связаны с неправильной обработкой компонентом Windows Media Foundation объектов в памяти. Для их эксплуатации злоумышленнику необходимо убедить пользователя посетить специально созданную вредоносную веб-страницу. Эксплуатация уязвимостей может позволить злоумышленнику выполнить произвольный код, устанавливать программы, просматривать, изменять или удалять данные, или создать новые учетные записи с полными правами пользователя.

Уязвимость CVE-2020-1153 в Microsoft Windows 10 связана со способом обработки компонентами Microsoft Graphics объектов в памяти. Для её эксплуатации злоумышленнику необходимо убедить пользователя открыть специально созданный вредоносный файл. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код, устанавливать программы, просматривать, изменять или удалять данные, или создать новые учетные записи с полными правами пользователя.

Уязвимость CVE-2020-1192 в Microsoft Visual Studio Code связана с некорректной загрузкой параметров рабочего пространства при работе расширения для поддержки языка Python. Для её эксплуатации злоумышленнику необходимо убедить пользователя открыть специально созданный файл в редакторе с установленным расширением. Эксплуатация уязвимости может позволить злоумышленнику выполнить произвольный код, устанавливать программы, просматривать, изменять или удалять данные, или создать новые учетные записи с полными правами пользователя.

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.