Апрельский «вторник обновлений» от компании Microsoft принес патчи для 74 уязвимостей, включая проблемы нулевого дня, которыми уже активно пользовались преступники, а также 15 критических багов. Стоит заметить, что уже второй месяц подряд разработчики исправляют 0-day баги, тогда как в прошлом месяце уже выходили патчи для крайне похожих уязвимостей.
В апреле инженеры Microsoft закрыли две 0-day проблемы: CVE-2019-0803 и CVE-2019-0859, обнаруженные экспертами Alibaba Cloud Intelligence Security Team и «Лаборатории Касперского». Обе эти уязвимости представляют собой эскалацию привилегий и обе связаны с компонентом Win32k.
Согласно официальному бюллетеню безопасности, баги сопряжены с тем, что Win32k некорректно обрабатывает объекты в памяти, и воспользовавшийся проблемой атакующий получает возможность выполнить произвольный код на уровне ядра. Правда для эксплуатации багов злоумышленнику потребуется войти в систему.
Более никаких подробностей об этих проблемах не сообщается, не считая того, что их уже активно используют неназванные хакерские группировки. Напомню, что в прошлом месяце очень похожую 0-day проблему, тоже связанную с Win32k, уже обнаруживали сотрудники «Лаборатории Касперского».
Среди других исправленных проблем можно отметить три уязвимости в Microsoft Office Access Connectivity (CVE-2019-0824, CVE-2019-0825, CVE-2019-0827), которые позволяют злоумышленнику выполнить в уязвимой системе произвольный код. Все три уязвимости можно эксплуатировать удаленно.
Еще один похожий баг (CVE-2019-0853) был найден в составе компонента Windows GDI+ и связан с парсингом файлов EMF. Данная проблема тоже может считаться весьма серьезной, так как для использования бреши атакующему достаточно заменить жертву на вредоносный сайт или прислать ей по почте вредоносный файл, убедив его открыть.
Также исправления для своих продуктов традиционно представили и разработчики Adobe. В этом месяце компания закрыла 43 уязвимости в Acrobat и Reader, Flash Player, Shockwave Player, Dreamweaver, XD, InDesign, Experience Manager Forms, а также Bridge CC. На этот раз обошлось без уязвимостей нулевого дня, находящихся под атакой, и других масштабных проблем.