Вторник патчей: Microsoft исправила 9 критических уязвимостей в декабре 2018

В последний Вторник Патчей (Patch Tuesday) 2018 года Microsoft исправила в общей сложности 39 уязвимостей безопасности, 9 из которых были признаны критическими. По крайней мере одна из уязвимостей активно эксплуатировалась в сети, поэтому пользователям рекомендуется обновиться как можно скорее

Среди 9 критических уязвимостей

Среди 9 критических уязвимостей, 6 проблем безопасности с идентификаторами CVE-2018-8583, CVE-2018-8617, CVE-2018-8618, CVE-2018-8624, CVE-2018-8634 и CVE-2018-8629 являются уязвимостями повреждения памяти в JScript движке Chakra.

Расположенные удаленно злоумышленники могли исполнять произвольный код на подверженных данным 6 уязвимостям машинах после успешной эксплуатации, в которой был задействован специальный подконтрольный им контент на сайте, перенаправляющий пользователя на вредоносную веб-страницу во время сеанса Microsoft Edge.

 

Установка и настройка обновлений Windows 10

Остальные три критические уязвимости с идентификаторами CVE-2018-8540, CVE-2018-8626 и CVE-2018-8631 связаны с удаленной инъекцией произвольного кода в Microsoft .NET Framework, удаленным выполнением кода за счет эксплуатации ошибок в серверах Windows DNS и Internet Explorer соответственно.

        Запись

Атакующие могли получить полный контроль над устройствами, затронутыми уязвимостью в фреймворке Microsoft .NET. Для этого могли использоваться специальные поля ввода, отображаемые в приложениях, использующих уязвимые методы .NET.

Уязвимости удаленного исполнения кода в серверах Windows DNS и Internet Explorer позволяли злоумышленникам выполнить произвольный код на затронутых системах в контексте авторизованного пользователя.

Согласно внутренней классификации Microsoft, критические уязвимости связаны с сетевыми червями или сценариями обычного использования, когда компрометация клиентской машины происходит без каких-либо предупреждений и запросов.

Microsoft исправила также несколько десятков уязвимостей, помеченных как важные. Они также могли приводить к удаленному исполнению кода и затрагивали несколько программных продуктов, начиная от пакета продуктивности Microsoft Office и заканчивая движком VBScript в Internet Explorer.

Вообще говоря, в декабре Microsoft исправила проблемы безопасности, затрагивающие следующие продукты и сервисы: Adobe Flash Player, Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office и Службы Microsoft Office и веб-приложения, ChakraCore, .NET Framework, Microsoft Dynamics NAV, Microsoft Exchange Server, Microsoft Visual Studio и Windows Azure Pack (WAP).

 

Материал предоставлен https://www.comss.ru/