Октябрьский набор обновлений от Microsoft оказался более «скромным» по сравнению с предыдущими месяцами. Если в последнее время разработчики ежемесячно устраняли по 80-90 различных уязвимостей, включая проблемы нулевого дня, на этот раз дело ограничилось только 59 багами. Всего 9 из них получили статус критических, а ни одной 0-day проблемы в этом месяце исправлено не было. Кроме того, ни одна из исправленных уязвимостей не находилась под атаками.
Две критические уязвимости (CVE-2019-1238 и CVE-2019-1239), исправленные в этом месяце, — это ошибки удаленного выполнения кода в VBScript. Обе проблемы связаны с тем, как VBScript обрабатывает объекты в памяти, позволяя злоумышленникам спровоцировать нарушения целостности памяти и выполнить произвольный код в контексте текущего пользователя. Баги могут быть использованы через документы Office, а также удаленно: для этого нужно заманить жертву на специально созданный сайт, который пользователь должен открыть в Internet Explorer.
В общей сложности семь исправлений устраняют проблемы удаленного выполнения кода в Chakra и VBScript, которые можно эксплуатировать, например, через вредоносную веб-страницу.
Также среди девяти критических проблем была уязвимость CVE-2019-1372, затрагивающая стек Azure. Проблема позволяет конечным пользователям, работающим на виртуальных машинах, отправлять и выполнять код на хост-машинах. Фактически это выход за пределы песочницы и выполнение кода с правами System. По сути, уязвимость представляет собой одновременно и ошибку повышения привилегий, и уязвимость, допускающую удаленное выполнение кода.
Вновь была устранена и очередная уязвимость в RDP (CVE-2019-1333), появляющаяся на стороне клиента. Этот недостаток позволял злоумышленнику добиться удаленного выполнения кода, обманом вынудив жертву подключиться к вредоносному серверу. Эксперты подчеркивают, что в отличие от проблем BlueKeep и DejaBlue, эта уязвимость не так опасна, хотя назвать ее несущественной тоже нельзя.
Интересно, что в этом месяце обошлось без обновлений для продуктов Adobe. Компания не стала выпускать какие-либо исправления для Flash, Reader, Acrobat и других своих решений. Самым последним патчем Adobe остается обновление ColdFusion от 25 сентября текущего года.
Среди других обновлений октября следует отметить восемь уязвимостей, устраненных разработчиками SAP. а также октябрьский бюллетень безопасности для Android.