• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

13.04.2021 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 114 уязвимостей, в том числе 19 критических и 88 уязвимостей высокого уровня опасности. Одна из исправленных ошибок является уязвимостью «нулевого дня», а информация о четырех уязвимостях стала общедоступной до выхода обновления.

663594

13.04.2021 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 114 уязвимостей, в том числе 19 критических и 88 уязвимостей высокого уровня опасности. Одна из исправленных ошибок является уязвимостью «нулевого дня», а информация о четырех уязвимостях стала общедоступной до выхода обновления.

Обновления затронули следующие продукты компании: Microsoft Windows, Edge (Chromium-based), Azure Sphere, Azure DevOps Server, Microsoft Office, Microsoft Graphics Component, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio, Exchange Server.

Уязвимости «нулевого дня» (CVE-2021-28310) присвоен высокий уровень опасности, она затрагивает Win32k и может привести к несанкционированному повышению привилегий. Чтобы успешно проэксплуатировать эту уязвимость, злоумышленнику необходимо запустить в целевой системе специально созданную программу. Для этого ему нужно будет либо войти в систему, либо обманным путем заставить пользователя запустить код.

Четыре критические уязвимости (CVE-2021-28480 – CVE-2021-28483) затрагивают Microsoft Exchange Server версий с 2013 по 2019 годы. Первые две из этих уязвимостей наиболее серьезные – им присвоен наивысший в этом выпуске обновлений рейтинг опасности – 9,8 по 10-балльной шкале CVSS. Обе ошибки не требуют от злоумышленника аутентификации в системе и взаимодействия с пользователем. Их эксплуатация может привести к удаленному выполнению кода.

Двенадцать критических уязвимостей могут привести к удаленному выполнению кода во время удалённого вызова процедур (Microsoft Remote Procedure Call Runtime). Для эксплуатации уязвимостей злоумышленнику необходимо отправить специально созданный запрос RPC в уязвимую систему.

Остальные критические уязвимости затрагивают Azure Sphere и Windows Media Video Decoder. Все они могут привести к удаленному выполнению кода злоумышленником.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), выполнить произвольный код, провести атаку типа «отказ в обслуживании» и «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.
Google устранила уязвимости в Chrome Google устранила множественные уязвимости в Chrome

Другие материалы

Каждый из нас понимает очевидную вещь: перспективное планирование обеспечивает широкому кругу (специалистов) участие в формировании первоочередных требований.