Випущено оновлення безпеки Microsoft за січень 2019
Випущено оновлення безпеки Microsoft за січень 2019
Microsoft випустила оновлення безпеки, що закривають 51 вразливість, що стосується таких продуктів: Windows, Windows Server, Microsoft Edge, Internet Explorer, Office, SharePoint, Exchange Server, Visual Studio, .NET Framework, .NET/ASP.NET Core, ChakraCore та Skype for Android.
Січневі планові оновлення безпеки виправляють 50 уразливостей у дев'яти продуктах (ОС Windows, Internet Explorer, Microsoft Edge, ChakraCore, .NET Framework, ASP.NET, Microsoft Visual Studio, Microsoft Exchange Server та Microsoft Office).
На відміну від чотирьох попередніх місяців, січневий реліз не містить виправлень для вразливостей нульового дня. Тим не менш, він виправляє 17 уразливостей (у тому числі 7 критичних), що дозволяють віддалено виконати код.
Три із семи вразливостей, зазначених Microsoft як критичні, зачіпають скриптовий двигун ChakraCore у браузері Edge (CVE-2019-0539, CVE-2019-0568 та CVE-2019-0567). Ще дві були виправлені у Hyper-V (CVE-2019-0550 та CVE-2019-0551), одна – у Windows DHCP (CVE-2019-0547) та ще одна – безпосередньо у Edge (CVE-2019-0565).< /p>
Оскільки клієнт Windows DHCP включений у всіх версіях Windows, а вразливість можна проексплуатувати віддалено, користувачам рекомендується встановити оновлення.
Інформація про рівень критичності, потенційні збитки та відповідні оновлення, що закривають дані вразливості, представлена в таблиці нижче:
Product Family | Maximum Severity | Maximum Impact | Associated KB Articles and/or Support Webpages |
Windows 10 v1809, v1803, v1709, v1703, v1607, Windows 10 для 32-бітних систем, і Windows 10 для x64-базованих систем (не включає Edge) | Critical | Remote Code Execution | Windows 10 v1809: 4480116
Windows 10 v1803: 4480966 Windows 10 v1709: 4480978 Windows 10 v1703: 4480973 Windows 10 v1607: 4480961 Windows 10: 4480962 |
Microsoft Edge | Critical | Remote Code Execution | Microsoft Edge: 4480961, 4480962, 4480973, 4480978, 4480966, and 4480116 |
Windows Server 2019, Windows Server 2016, та Server Core installations (2019, 2016, v1803, and v1709) | Critical | Remote Code Execution | Windows Server 2019: 4480116
Windows Server 2016: 4480961 |
Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 7, Windows Server 2008 R2 та Windows Server 2008 | Important | Remote Code Execution | Windows 8.1 та Windows Server 2012 R2 Monthly Rollup: 4480963
Windows 8.1 та Windows Server 2012 R2 Security Only: 4480964 Windows Server 2012 Monthly Rollup: 4480975 Windows Server 2012 Security Only: 4480972 Windows 7 та Windows Server 2008 R2 Monthly Rollup: 4480970 Windows 7 та Windows Server 2008 R2 Security Only: 4480960 Windows Server 2008 Monthly Rollup: 4480968 Windows Server 2008 Security Only: 4480957 |
Internet Explorer | Important | Remote Code Execution | Internet Explorer 9 Monthly Rollup: 4480968
Internet Explorer 9 IE Cumulative: 4480965 Internet Explorer 10 Monthly Rollup: 4480975 Internet Explorer 10 IE Cumulative: 4480965 Internet Explorer 11 Monthly Rollup: 4480970 and 4480963 Internet Explorer 11 IE Cumulative: 4480965 Internet Explorer 11 Security Update: 4480961, 4480962, 4480973, 4480978, 4480966, and 4480116 |
Microsoft Office-related software | Important | Remote Code Execution | Кількість KB статей, пов'язаних з Microsoft Office для кожного місяця збереження оновлення варіації, залежно від числа CVEs і числа помітних компонентів. There are several support article related to Office updates— too many to list here for the purpose of a summary. Review the content in the Security Update Guide for article details. |
Microsoft SharePoint-related software | Important | Remote Code Execution | Microsoft SharePoint-related software: 4461596, 4461598, 4461624, 4461591, 4461634, and 4461589 |
Skype for Android | Moderate | Elevation of Privilege | Please see CVE-2019-0622 in Security Update Guide for details. |
Microsoft Exchange Server | Important | Remote Code Execution | Microsoft Exchange Server: 4471389 and 4468742 |
Microsoft Visual Studio | Important | Remote Code Execution | Microsoft Visual Studio: 4476698 and 4476755 |
Microsoft.NET Framework | Important | Information Disclosure | Через число електронних статей, що поєднані з .NET Framework security update release will vary depending on the number of CVEs and number of affected components. Цей місяць є більше 20 support articles related to .NET Framework updates – too many to list here for the purpose of a summary. |
Microsoft .NET Core, and ASP.NET Core | Important | Information Disclosure | Microsoft .NET Core and ASP.NET Core are general-purpose development platforms maintained by Microsoft and the .NET community at https://github.com/dotnet/core andhttps://github .com/aspnet/AspNetCore, respectively. |
ChakraCore | Critical | Remote Code Execution | ChakraCore is core part of Chakra, high-performance JavaScript engine that powers Microsoft Edge and Windows applications written in HTML/CSS/JS. More information is available at https://github.com/Microsoft/ChakraCore/wiki. |
Зверніть увагу
На наступні вразливості та оновлення безпеки слід звернути особливу увагу:
Windows/Windows Server
CVE-2019-0547 - Windows DHCP Client Remote Code Execution Vulnerability
CVE-2019-0579 - Jet Database Engine Remote Code Execution Vulnerability (disclosed publicly)
CVE-2019-0550 - Windows Hyper-V Remote Code Execution Vulnerability
CVE-2019-0551 - Windows Hyper-V Remote Code Execution Vulnerability
Microsoft Edge/Internet Explorer
CVE-2019-0565 - Microsoft Edge Memory Corruption Vulnerability
CVE-2019-0567 - Chakra Scripting Engine Memory Corruption Vulnerability
CVE-2019-0568 - Chakra Scripting Engine Memory Corruption Vulnerability
CVE-2019-0539 - Chakra Scripting Engine Memory Corruption Vulnerability
Microsoft Office
CVE-2019-0585 - Microsoft Word Remote Code Execution Vulnerability
Рекомендації з безпеки
У січні було випущено такі рекомендаційні документи:
ADV190001 - January 2019 Adobe Flash Update (не містить оновлень безпеки)
Були доповнені та оновлені такі рекомендаційні документи:
ADV180012 - Microsoft Guidance for Speculative Store Bypass
Також було випущено оновлення Servicing Stack Update (SSU) для Windows 10 v1703:
ADV990001 - Latest Servicing Stack Updates