На этой неделе компания Microsoft представила набор августовских обновлений для своих продуктов. Суммарно было устранено порядка 60 багов в Microsoft Windows, Edge Browser, Internet Explorer, Office, ChakraCore, .NET Framework, Exchange Server, Microsoft SQL Server и Visual Studio, 19 из которых получили статус критических. Также были исправлены две 0-day уязвимости, о которых уже было известно широкой публике и которые эксплуатирую злоумышленники: CVE-2018-8414 и CVE-2018-8373.
0-day
Проблему CVE-2018-8414 специалисты компании характеризуют как уязвимость в Windows Shell. Однако, в сущности, она связана с файлами SettingContent-ms, которые вошли в обращение после релиза Windows 10. Они позволяют создавать ярлыки для страниц настроек, пришедших на смену классической «Панели управления».
Ранее мы уже рассказывали о том, что файлы SettingContent-ms могут представлять угрозу безопасности пользователей и использоваться для исполнения вредоносного кода. В результате, в июле 2018 года, Microsoft уже запретила встраивать файлы SettingContent-ms в документы Outlook и Office 365.
Теперь августовское обновление, похоже, закрывает эту брешь окончательно. Разработчики позаботились о том, чтобы Windows Shell осуществляла необходимую валидацию файловых путей и исполняла SettingContent-ms лишь после этого, что призвано помешать вредоносной эксплуатации файлов ярлыков.
Вторая уязвимость нулевого дня, CVE-2018-8373, описывается как удаленное исполнение произвольного кода, связанное с тем, как скриптовый движок Internet Explorer обрабатывает объекты в памяти. Использование данной проблемы позволяет атакующему выполнить код с привилегиями текущего пользователя. Если это будет администратор, система окажется полностью скомпрометирована.
Хуже того, эксплуатировать этот баг можно и через интернет: достаточно открыть в Internet Explorer вредоносный сайт или вредоносное почтовое вложение.
По данным Microsoft, информация об этой проблеме была опубликована в сети до выхода патча, и уязвимость уже находится под атакой. Более подробно об этом рассказали в своем блоге специалисты компании Trend Micro.
Прочее
Ранее на этой неделе мы рассказывали о новых уязвимостях класса Spectre, получивших названия L1TF или Foreshadow и обнаруженных в процессорах Intel: CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646. Этим проблемам и патчам для них разработчики Microsoft посвятили бюллетень ADV180018.
Также в этом месяце были устранены критические RCE-баги, связанные с работой SQL Server 2016 и 2017 (CVE-2018-8273), Windows PDF Remote (CVE-2018-8350), Microsoft Graphics (CVE-2018-8344) ярлыков .LNK (CVE-2018-8345), Windows Graphics Device Interface (CVE-2018-8397), а также Excel (CVE-2018-8375, CVE-2018-8379) и PowerPoint (CVE-2018-8376).