Вівторок патчів: Microsoft виправила 9 критичних вразливостей в грудні 2018

В останній вівторок Патчів (Patch Tuesday) 2018 року Microsoft виправила в цілому 39 вразливостей безпеки, 9 з яких були визнані критичними. Принаймні одна з вразливостей активно експлуатувалася в мережі, тому користувачам рекомендується оновитися як можна швидше

Принаймні одна з вразливостей активно експлуатувалася в мережі, тому користувачам рекомендується оновитися як можна швидше

Серед 9 критичних вразливостей, 6 проблем безпеки з ідентифікаторами CVE-2018-8583 , CVE-2018-8617 , CVE-2018-8618 , CVE-2018-8624 , CVE-2018-8634 і CVE-2018-8629 є уразливими пошкодження пам'яті в JScript движку Chakra.

Розташовані віддалено зловмисники могли виконувати довільний код на схильних до даними 6 уязвимостям машинах після успішної експлуатації, в якій був задіяний спеціальний підконтрольний їм контент на сайті, що перенаправляє користувача на шкідливу веб-сторінку під час сеансу Microsoft Edge .

Розташовані віддалено зловмисники могли виконувати довільний код на схильних до даними 6 уязвимостям машинах після успішної експлуатації, в якій був задіяний спеціальний підконтрольний їм контент на сайті, що перенаправляє користувача на шкідливу веб-сторінку під час сеансу   Microsoft Edge

Установка і настройка оновлень Windows 10

Решта три критичні уразливості з ідентифікаторами CVE-2018-8540 , CVE-2018-8626 і CVE-2018-8631 пов'язані з віддаленої ін'єкцією довільного коду в Microsoft .NET Framework , Віддаленим виконанням коду за рахунок експлуатації помилок в серверах Windows DNS і Internet Explorer відповідно.

Атакуючі могли отримати повний контроль над пристроями, порушеними вразливістю в фреймворку Microsoft .NET. Для цього могли використовуватися спеціальні поля введення, які відображаються в додатках, що використовують уразливі методи .NET.

Уразливості віддаленого виконання коду в серверах Windows DNS і Internet Explorer дозволяли зловмисникам виконати довільний код на порушених системах в контексті авторизованого користувача.

Відповідно до внутрішньої класифікації Microsoft, критичні уразливості пов'язані з мережними хробаками або сценаріями звичайного використання, коли компрометація клієнтської машини відбувається без будь-яких попереджень і запитів.

Microsoft виправила також кілька десятків вразливостей, позначених як важливі. Вони також могли приводити до віддаленого виконання коду і зачіпали кілька програмних продуктів, починаючи від пакета продуктивності Microsoft Office і закінчуючи двигуном VBScript в Internet Explorer.

Взагалі кажучи, в грудні Microsoft виправила проблеми безпеки, що зачіпають такі продукти і сервіси: Adobe Flash Player, Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office і Служби Microsoft Office і веб-додатки, ChakraCore, .NET Framework, Microsoft Dynamics NAV, Microsoft Exchange Server, Microsoft Visual Studio і Windows Azure Pack (WAP).

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter

Знайшли друкарську помилку?