Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

11.05.2021 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 55 уязвимостей, в том числе четыре критических и 50 уязвимостей высокого уровня опасности. Информация о трёх уязвимостях стала общедоступной до выхода обновления.

Обновления затронули следующие продукты компании: Microsoft Windows, .NET Core, Visual Studio, Internet Explorer, Microsoft Office, SharePoint Server, Open-Source Software, Hyper-V, Skype for Business, Microsoft Lync, Exchange Server.

Критической уязвимости CVE-2021-28476 присвоен наивысший в этом выпуске обновлений рейтинг опасности – 9,9 по 10-балльной шкале CVSS версии 3.0. Она затрагивает Hyper-V и может позволить злоумышленнику удаленно выполнить код, а также осуществить атаку типа «отказ в обслуживании».

Критическая уязвимость CVE-2021-31166 затрагивает Windows Server и Windows 10, содержится в стеке протокола HTTP. Она может позволить неаутентифицированному злоумышленнику удаленно выполнить код с привилегиями ядра. Чтобы успешно проэксплуатировать эту уязвимость, злоумышленнику необходимо отправить на целевой сервер специально созданный пакет.

Критическая уязвимость CVE-2021-31194 затрагивает технологию OLE Automation в Windows Server и Windows. Она может привести к выполнению произвольного кода. Для эксплуатации уязвимости необходимо, чтобы злоумышленник заставил пользователя посетить специально созданный вредоносный веб-сайт, предназначенный для запуска технологии автоматизации OLE.

Критическая уязвимость CVE-2021-26419 затрагивает скриптовый движок браузера Internet Explorer и может привести к удаленному выполнению кода злоумышленником. Существуют несколько сценариев атаки с использованием этой уязвимости. Злоумышленник может проэксплуатировать её, заставив пользователя посетить специально созданный вредоносный веб-сайт с использованием браузера Internet Explorer. Во втором сценарии атаки злоумышленник может встроить элемент управления ActiveX, помеченный как «безопасный для инициализации», в приложение или документ Microsoft Office, в котором размещен механизм рендеринга Internet Explorer.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), выполнить произвольный код, провести атаку типа «отказ в обслуживании» и «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.