Декабрьский «вторник обновлений» от Microsoft принес патчи для 58 уязвимостей, 22 из которых были связаны с удаленным выполнением произвольного кода. Исправления затронули широкий спектр продуктов и технологий, включая Windows, Microsoft Sharepoint, Microsoft Exchange, HyperV и Kerberos.
Из 58 исправленных уязвимостей 9 были признаны критическими, еще 46 – важными. Также сообщается, что ни одну из этих проблем пока не использовали хакеры, и Microsoft неизвестно о существовании эксплоитов для них.
Наиболее опасными багами этого месяца можно назвать RCE-уязвимости в Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132 и CVE-2020-17142), а также в составе SharePoint (CVE-2020-17118 и CVE-2020-17121).
Еще один заслуживающий внимания баг — это ошибка в Hyper-V (CVE-2020-17095), которую можно эксплуатировать с помощью вредоносного пакета SMB. В итоге удаленный злоумышленник может взломать виртуализированные песочницы, для защиты которых используется Hyper-V.
Помимо Microsoft патчи для своих продуктов, как обычно, представили и другие компании:
- Adobe опубликовала бюллетени безопасности для Adobe Prelude (APSB20-70), Adobe Experience Manager (APSB20-72) и Adobe Lightroom (APSB20-74);
- SAP выпустила 11 рекомендаций по безопасности, и одна из уязвимостей (CVE-2020-26829) получила 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Баг описывается как отсутствие проверки аутентификации в SAP NetWeaver AS JAVA (P2P Cluster Communication), затрагивающий версии 7.11, 7.20, 7.30, 7.31, 7.40, 7.50;
- IBM представители 10 бюллетеней безопасности, 2 из которых имеют высокий уровень серьезности: CVE-2020-4430, обеспечивающий отказ в обслуживании Db2, а также CVE-2020-4739, позволяющий локальному злоумышленнику запускать произвольный код.