Microsoft випустила оновлення безпеки за листопад, усунувши 74 вразливості
Microsoft випустила оновлення безпеки за листопад, усунувши 74 вразливості
На наступні вразливості та оновлення безпеки слід звернути особливу увагу:
Windows
CVE-2019-1384 – Microsoft Windows Security Feature Bypass Vulnerability (CVSS Score 8.5)
CVE-2019-1397 – Windows Hyper-V Remote Code Execution Vulnerability (Critical)
CVE-2019-1419 – OpenType Font Parsing Remote Code Execution Vulnerability (Critical)
Microsoft Browsers
CVE-2019-1429 – Scripting Engine Memory Corruption Vulnerability (Exploitation detected)
Affected Software: Internet Explorer 9, 10, 11 на оновлених версіях Windows.
Microsoft Office
CVE-2019-1448 – Microsoft Excel Remote Code Execution Vulnerability
Microsoft SharePoint
CVE-2019-1443 – Microsoft SharePoint Information Disclosure Vulnerability
Microsoft Exchange
CVE-2019-1373 – Microsoft Exchange Remote Code Execution Vulnerability (Critical)
Microsoft Visual Studio
CVE-2019-1425 – Visual Studio Elevation of Privilege Vulnerability
Microsoft Azure Stack
CVE-2019-1234 – Azure Stack Spoofing Vulnerability
Open Enclave SDK
CVE-2019-1370 – Open Enclave SDK Information Disclosure Vulnerability
For details go to: https://openenclave.io/sdk/
Увага:
Intel TSX
CVE-2019-11135 – Windows Kernel Information Disclosure Vulnerability
On November 12, 2019, Intel запроваджено технічний advisory around Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Microsoft має released updates to help mitigate this vulnerability. Please note the following:
- Веб-системи захисту можуть бути здійснені за допомогою Windows Server OS Editions. See Microsoft Knowledge Base Article 4072698 for more information.
- Веб-системи захисту можуть бути відтворені за вказівками для всіх Windows Client OS Editions. See Microsoft Knowledge Base Article 4073119 for more information.
CVE-2018-12207 – Windows Denial of Service Vulnerability
On November 12, 2019, Intel запроваджено технічного керування за допомогою Intel® Processor Machine Check Error vulnerability that is assigned CVE-2018-12207. Microsoft має released updates to help mitigate this vulnerability for guest Virtual Machines (VMs) but the protection is disabled by default. Please follow the guidance around registry setting outlined in Microsoft Knowledge Base Article 4531006 for guest VMs
Рекомендації з безпеки
ADV190024 – Microsoft Guidance for Vulnerability in Trusted Platform Module (TPM)
Також були доповнені та оновлені такі рекомендаційні документи:
ADV990001 – Latest Servicing Stack Updates
Servicing Stack Update має бути виконаний для всіх підтриманих версій Windows.
November 2019 Security Updates
The November security release consists of security updates for the following software:
- Microsoft Windows
- Internet Explorer
- Microsoft Edge (EdgeHTML-based)
- ChakraCore
- Microsoft Office та Microsoft Office Services and Web Apps
- Open Source Software
- Microsoft Exchange Server
- Visual Studio
- Azure Stack
Застосувати докладніше про наступні відомості про те, щоб гарантувати надійність безпеки:
- A list of the latest serving stack updates for each operating system can be found in ADV990001. Це означає, що буде оновлено, колиновий сервісний список update is released. Це важливо для налаштування останнього сервісного stack update.
- Windows 10 updates are cumulative. The monthly security release includes all security fixes for vulnerabilities that affect Windows 10, в додаток до небезпеки оновлення. Updates є доступним за допомогою Microsoft Update Catalog.
- Updates for Windows RT 8.1 та Microsoft Office RT software є лише можливим за допомогою Windows Update.
- За інформацією про життєвий цикл та підтримка операцій Windows для 10 операційних систем, натисніть на Windows Lifecycle Facts Sheet.
- У додатковому значенні безпеки для ураженості, updates include defense-in-depth updates to help improve security-related features.
- Starting in May 2019, Internet Explorer 11 є доступним на Windows Server 2012.
The following CVEs have FAQs with additional information and may include * further steps для того, щоб по installing the updates. Відмітьте, що це не повний список CVE для цього сервісу.
- ADV190024 *
- CVE-2018-12207 *
- CVE-2019-11135 *
- CVE-2019-1324
- CVE-2019-1370
- CVE-2019-1374
- CVE-2019-1381
- CVE-2019-1402
- CVE-2019-1409
- CVE-2019-1411
- CVE-2019-1412
- CVE-2019-1418
- CVE-2019-1432
- CVE-2019-1436
- CVE-2019-1439
- CVE-2019-1440
- CVE-2019-1442 *
- CVE-2019-1443
- CVE-2019-1445
- CVE-2019-1446
- CVE-2019-1447
- CVE-2019-1448
- CVE-2019-1449
- CVE-2019-1457
Known Issues
Це наведені KB містить інформацію про відомі питання з надійними оновленнями. Для того, щоб отримати докладний захист KBs, please see 20191112
KB Article | Applies To |
---|---|
4484113 | Microsoft Office 2016 |
4523171 | Microsoft Exchange Server |
4523205 | Windows 10, version 1809, Windows Server 2019 |
4524570 | Windows 10, version 1903, Windows Server version 1903 |
4525232 | Windows 10 |
4525236 | Windows 10, version 1607, Windows Server 2016 |
4525237 | Windows 10, version 1803, Windows Server version 1803 |
4525241 | Windows 10, version 1709 |
4525243 | Windows 8.1, Windows Server 2012 R2 (Monthly Rollup) |
4525246 | Windows Server 2012 (Monthly Rollup) |
4525250 | Windows 8.1, Windows Server 2012 R2 (Security-only update) |
4525253 | Windows Server 2012 (Security-only update) |