Microsoft випустила оновлення безпеки для Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Exchange Server, Outlook, .NET Framework, Microsoft Hyper-V, ChakraCore, Azure IoT SDK
Уразливості дозволяють виконати довільний код та перехопити контроль над системою.
У рамках планового «вівторка виправлень» Microsoft випустила ряд оновлень безпеки, що усувають загалом 67 уразливостей у Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Exchange Server, Outlook, .NET Framework, Microsoft Hyper-V, ChakraCore, Azure IoT SDK та інших продуктах, у тому числі дві вразливості нульового дня, що активно експлуатуються зловмисниками.
Перша вразливість CVE-2018-8174, що отримала назву Double Kill, міститься в коді ядра браузера Internet Explorer і дозволяє віддалено виконати код та отримати контроль над системою. Double Kill є вразливістю використання після звільнення, що стосується VBScript Engine (входить до складу всіх підтримуваних версій Windows). Проблема пов'язана з тим, як VBScript Engine обробляє об'єкти в пам'яті комп'ютера, і дозволяє атакуючим виконати довільний код із привілеями поточного користувача.
Друга вразливість CVE-2018-8120 виникає внаслідок некоректної обробки компонентом Win32k об'єктів у пам'яті комп'ютера. Успішно проексплуатувавши проблему, атакуючий може виконати код у режимі ядра і встановити додаткові програми або шкідливе програмне забезпечення, переглядати, модифікувати або видалити дані, а також створювати нові облікові записи з повними привілеями. Вразливість зачіпає лише версії Windows 7, Windows Server 2008 та Windows Server 2008 R2. За даними Microsoft, CVE-2018-8120 активно експлуатується зловмисниками, проте компанія не надала подробиць про існуючі експлоїти.
Окрім іншого, виробник усунув дві «важливі» вразливості у Windows. Перша (CVE-2018-8141) міститься в ядрі операційної системи і може призвести до розкриття важливої інформації, друга CVE-2018-8170 стосується Служби завантаження зображень Windows і дозволяє підвищити привілеї на системі.
Травневі оновлення також виправляють близько 20 серйозних уразливостей, включаючи вразливості пошкодження пам'яті в двигунах Edge та Internet Explorer, а також RCE баги в Hyper-V та Hyper-V SMB.