Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

08.12.2020 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 58 уязвимостей, в том числе 9 критических и 46 уязвимости высокого уровня опасности. Среди исправленных ошибок ни одна не помечена как уязвимость «нулевого дня».

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Office, Microsoft Office Services и Web Apps, Microsoft Edge, Microsoft Edge for Android, ChakraCore, Microsoft Exchange Server, Microsoft Dynamics, Visual Studio, Azure DevOps, Azure Sphere, Azure SDK.

Более трети исправлений этого месяца (22) классифицируются как уязвимости удаленного выполнения кода. Это ошибки безопасности, которые необходимо устранять как можно быстрее, поскольку они могут быть проэксплуатированы без взаимодействия с пользователем.

Одна из наиболее серьезных уязвимостей (CVE-2020-17095) затрагивает систему аппаратной виртуализации Hyper-V и связана с удаленным выполнением кода. Уязвимость может позволить злоумышленнику повысить привилегии от выполнения кода в гостевой системе Hyper-V до выполнения кода на хосте Hyper-V. Ошибка возникает из-за некорректной проверки данных пакета vSMB.

Другие критические уязвимости затрагивают Chakra Scripting Engine, Microsoft Dynamics 365 for Finance and Operations, Microsoft Exchange, Microsoft SharePoint. Все они могут привести к удаленному выполнению кода.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, провести атаку типа «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.