В рамках ноябрьского «вторника обновлений» Microsoft устранила 112 уязвимостей в своих продуктах, включая Windows, Office, Internet Explorer, Edge (EdgeHTML и Chromium), ChakraCore, Exchange Server, Dynamics, Windows Codecs Library, Azure Sphere, Windows Defender, Teams, Azure SDK, Azure DevOps, а также Visual Studio.

Среди патчей этого месяца было исправление для уязвимости CVE-2020-17087, обнаруженной специалистами Google в ядре Windows. Напомню, что, по данным экспертов, эта проблема использовалась хакерами в связке с другой 0-day уязвимостью­, CVE-2020-15999, связанной с работой библиотеки рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome.

Так, уязвимость в Chrome использовалась для запуска вредоносного кода внутри Chrome, а нулевой день в Windows пускали в ход во время второй части атаки, что позволяло злоумышленникам покинуть безопасный контейнер Chrome и выполнить код уже на уровне ОС (то есть осуществить побег из песочницы).

Как теперь сообщает Microsoft, обнаруженный в ядре Windows 0-day, влиял на все поддерживаемые в настоящее время версии операционной системы, включая все версии после Windows 7 и все дистрибутивы Windows Server.

Помимо этой проблемы в рамках «вторника обновлений» устранили 24 ошибки, допускавших удавленное выполнение произвольного кода (RCE). Баги такого рода были найдены и исправлены в составе: Excel, Microsoft Sharepoint, Microsoft Exchange Server, Windows Network File System, компонента Windows GDI+, диспетчера очереди печати Windows, а также Microsoft Teams.

Помимо Microsoft патчи для своих продуктов, как обычно, выпустили и другие компании:

 

Оставить мнение