Сентябрьский «вторник обновлений» принес исправления для 129 уязвимостей в 15 различных продуктах Microsoft: Windows, браузеры Edge и Internet Explorer, ChakraCore, SQL Server, Exchange Server, Office, ASP.NET, OneDrive, Azure DevOps, Visual Studio и Microsoft Dynamics.

При этом инженеры компании уверяют, что ни одна из устраненных в этом месяце уязвимостей не использовалась для реальных атак. Но уже седьмой месяц подряд с выходом плановых патчей Microsoft устраняет более 110 уязвимостей.

32 проблемы из 129 допускали удаленное выполнение произвольного кода, а более 20 из них к тому же получили статус критических, то есть это были наиболее опасные уязвимости этого месяца. Так, критические RCE-баги были обнаружены в следующих продуктах:

Все перечисленные уязвимости представляют большую опасность, особенно те, что затрагивают саму Windows, SharePoint и Dynamics 365 (поскольку эти системы часто используются крупных корпоративных сетях).

Нужно сказать, что одной из наиболее опасных проблем этого месяца специалисты называют баг в Microsoft Exchange Server (CVE-2020-16875) — RCE-уязвимость, которая набрала 9,1 балла из 10 по шкале CVSS. По сути этот баг позволяет просто отправить на уязвимый сервер специально подготовленное письмо, и это может привести к запуску произвольного кода c правами уровня System. Проблема затрагивает Microsoft Exchange 2016 и 2019.

Менее опасные баги, получившие статус «важных», были найдены в составе Windows, Active Directory, Active Directory Federation Services (ADFS), Internet Explorer Browser Helper, Jet Database Engine, ASP.NET Core, Dynamics 365, Excel, Graphics Component, Office, Office SharePoint, SharePoint Server, SharePoint, Word, OneDrive for Windows, Scripting Engine, Visual Studio, Win32k, Windows Defender Application Control, Windows DNS и так далее.

Большинство из этих проблем связаны с потенциальным раскрытием информации, повышением привилегий, а также XSS. Некоторые уязвимости также могут привести к удаленному выполнению кода и допускают обход защитных механизмов, спуфинг или провоцируют отказ в обслуживании.

Оставить мнение