+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Microsoft випустила чергові щомісячні оновлення безпеки для своїх продуктів

Microsoft випустила чергові щомісячні оновлення безпеки для своїх продуктів

Microsoft випустила чергові щомісячні оновлення безпеки для своїх продуктів. Загалом було виправлено 59 уразливостей у Windows та пов'язаному ПЗ, 9 з яких є критичними, 49 – небезпечними та 1 – середньої небезпеки.

Дві критичні вразливості (CVE-2019-1238 та CVE-2019-1239), що дозволяють віддалено виконати код, були виправлені у VBScript. Проблеми пов'язані з тим, як VBScript обробляє об'єкти в пам'яті, і дозволяють атакуючому викликати пошкодження пам'яті та виконати довільний код у контексті поточного користувача. Для експлуатації вразливостей зловмисник повинен хитрістю змусити жертву відкрити особливим чином налаштований сайт у браузері Internet Explorer.

Проексплуатувати обидві вразливості можна також за допомогою програми або документа Microsoft Office, вбудувавши елемент керування ActiveX, позначений як «безпечний для ініціалізації» і використовує браузер Internet Explorer.

Як і минулими місяцями, Microsoft виправила чергову вразливість у вбудованому у Windows додатку Remote Desktop Client, що дозволяє отримати контроль над комп'ютерами шляхом підключення їх до шкідливого RDP-сервера. На відміну від червоподібної вразливості BlueKeep, нова вразливість не є самопоширюваною і для її експлуатації зловмисник повинен змусити жертву підключитися до шкідливого RDP-серверу або за допомогою соціальної інженерії, або шляхом «отруєння» кешу DNS (DNS cache poisoning), або посередині».

Три критичні вразливості, що дозволяють віддалено виконати код, були також виправлені у скриптовому движку Chakra. Проблеми існують через те, як Chakra обробляє об'єкти в пам'яті Microsoft Edge, і призводять до пошкодження пам'яті. Одна критична вразливість дозволяє підвищити привілеї і виникає, коли Azure App Service в Azure Stack не перевіряє довжину буфера, перш ніж скопіювати пам'ять.

Інші новини

Найкраща ціна