Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

14.07.2020 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 123 уязвимости, в том числе 18 критических и 105 уязвимостей высокого уровня опасности. Ни одна из исправленных ошибок не относится к уязвимостям «нулевого дня». Информация об одной уязвимости стала общедоступной до выхода обновления.

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Edge, Microsoft ChakraCore, Internet Explorer, Microsoft Office, Microsoft Office Services and Web Apps, Windows Defender, Skype for Business, Visual Studio, Microsoft OneDrive, Open Source Software, .NET Framework, Azure DevOps.

Критическая уязвимость CVE-2020-1147 затрагивает .NET Framework, Microsoft SharePoint, Visual Studio и связана с некорректной проверкой содержимого XML-файла. Её эксплуатация позволяет злоумышленнику выполнить произвольный код.

Критическая уязвимость CVE-2020-1409 затрагивает DirectWrite и связана с неправильной обработкой объектов в памяти. Эксплуатация уязвимости может позволить злоумышленнику получить контроль над уязвимой системой, после чего он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Критическая уязвимость CVE-2020-1435 затрагивает графический интерфейс Windows (Graphics device interface, GDI) и связана с неправильной обработкой объектов в памяти. Её эксплуатация позволяет злоумышленнику выполнить произвольный код. В случае если пользователь имеет права администратора, злоумышленник сможет получить полный контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

Шесть критических уязвимостей (CVE-2020-1032, CVE-2020-1036, CVE-2020-1040, CVE-2020-1041, CVE-2020-1042, CVE-2020-1043) затрагивают Hyper-V RemoteFX vGPU. Они связаны с неправильной проверкой данных аутентифицированного пользователя в гостевой операционной системе. Их эксплуатация может позволить злоумышленнику выполнить произвольный код в операционной системе хоста.

Критическая уязвимость CVE-2020-1421 в Microsoft Windows может привести к удаленному выполнению кода при обработке вредоносного файла .LNK. Для эксплуатации уязвимости злоумышленнику необходимо, чтобы пользователь открыл специально созданный файл .LNK. В результате злоумышленник сможет получить те же права, что и текущий пользователь.

Остальные критические уязвимости затрагивают Microsoft Office, Microsoft Outlook, Microsoft SharePoint Server, Windows Remote Desktop Client, VBScript, Windows Address Book (WAB), Windows DNS. Все они могут привести к выполнению кода.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подделать URL-адрес, выполнить произвольный код, провести атаки типов «отказ в обслуживании» и «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.