В ноябрьский «вторник обновлений» вошли патчи для 74 уязвимостей в продуктах Microsoft, 13 из которых были оценены как критические, а проблема в скриптовом движке Internet Explorer уже и вовсе использовалась хакерами.
Под атаками находилась уязвимость CVE-2019-1429, обнаруженная в Internet Explorer 9, 10 и 11, и затрагивающая скриптовый движок браузера. Microsoft описывает проблему как нарушение целостности информации в памяти, из-за чего злоумышленник может выполнить произвольный код в контексте текущего пользователя. Для осуществления атаки достаточно заманить жертву на вредоносный сайт или вынудить ее открыть вредоносный документ Office (скриптовый движок IE используется и в приложениях Office Suite для отображения веб-контента внутри встраиваемых фреймов).
Данную уязвимость нулевого дня помогли обнаружить исследователи сразу из трех компаний: iDefense Labs, Resecurity и Google (Project Zero and Threat Analysis).Эксперты Resecurity рассказывают в официальном блоге, что, по их данным, проблему CVE-2019-1429 эксплуатировали совместно с уязвимостью CVE-2019-0880, исправленной еще в июле текущего года. Исследователи считают, что обе эти уязвимости использовались одной и той же кибершпионской группой для направленных атак на компании оборонного, федерального и финансового секторов. Так как ранее эта хак-группа уже использовала «ложные флаги», с атрибуцией атак у исследователей пока наблюдаются проблемы.
Хотя 0-day уязвимость в составе IE была наиболее опасной проблемой этого месяца, Microsoft выпустила немало других исправлений. В общей сложности были исправлены 74 ошибки в девяти продуктах и платформах Microsoft. В их числе: четыре уязвимости в Hyper-V, позволяющие запустить произвольный код на сервере (CVE-2019-0721, CVE-2019-1389, CVE-2019-1397, CVE-2019-1398); RCE-уязвимость в Exchange (CVE-2019-1373); три бага, допускающие исполнение произвольного кода в скриптовом движке Edge (CVE-2019-1426, CVE-2019-1427, CVE-2019-1428) и аналогичная проблема в VBScript (CVE-2019-1390). Наиболее серьезными проблемами в Office стали RCE-уязвимость (CVE-2019-1448) и баг, позволяющий обойти защитные механизмы Excel (CVE-2019-1457).
Традиционно заметим, что обновления для своих продуктов также обнародовала и компания Adobe. На этот раз патчи вышли для проблемы удаленного исполнения кода в Illustrator, уязвимости повышения привилегий в Animate CC, пяти ошибок раскрытия информации в Adobe Media Encoder и двух уязвимостей раскрытия информации в Bridge CC.