Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

09.06.2020 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 129 уязвимостей, в том числе 11 критических и 118 уязвимостей высокого уровня опасности. Ни одна из исправленных ошибок не относится к уязвимостям «нулевого дня».

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Edge, Microsoft ChakraCore, Internet Explorer, Microsoft Office and Microsoft Office Services and Web Apps, Windows Defender, Microsoft Dynamics, Visual Studio, Azure DevOps, HoloLens и др.

Критическая уязвимость CVE-2020-1248 затрагивает графический интерфейс Windows (Graphics device interface, GDI) и связана с неправильной обработкой объектов в памяти. Её эксплуатация позволяет злоумышленнику выполнить произвольный код. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Критическая уязвимость CVE-2020-1299 в Microsoft Windows может привести к удаленному выполнению кода при обработке вредоносного файла .LNK. Для эксплуатации уязвимости злоумышленнику необходимо, чтобы пользователь открыл специально созданный файл .LNK. В результате злоумышленник сможет получить те же права, что и текущий пользователь.

Критическая уязвимость CVE-2020-1219 затрагивает браузеры Microsoft и возникает из-за неправильной обработки объектов в памяти. Эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код с правами текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Критическая уязвимость CVE-2020-1181 в продукте Microsoft SharePoint Server возникает из-за некорректной обработки небезопасных элементов управления ASP.Net. В результате ее эксплуатации аутентифицированный в системе злоумышленник сможет выполнить произвольный код.

Критические уязвимости в скриптовом движке ChakraCore (CVE-2020-1073) и механизме VBScript (CVE-2020-1213, CVE-2020-1216, CVE-2020-1260) связаны с неправильной обработкой объектов в памяти.Их эксплуатация может позволить злоумышленнику выполнить произвольный код с правами текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Критическая уязвимость CVE-2020-1281 затрагивает технологию Microsoft Windows OLE и связана с некорректной проверкой вводимых пользователем данных. Её эксплуатация может привести к удаленному выполнению кода злоумышленником.

Критическая уязвимость CVE-2020-1300 в Microsoft Windows возникает из-за неправильной обработки файлов формата Cabinet (.cab) и может привести к удаленному выполнению кода злоумышленником.

Критическая уязвимость CVE-2020-1286 в Windows Shell возникает из-за неправильной проверки пути к файлам. Эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код с правами текущего пользователя. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Для эксплуатация уязвимости злоумышленник должен убедить пользователя открыть специально созданный файл.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подделать URL-адрес, выполнить произвольный код, провести атаки типов «отказ в обслуживании» и «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.