Microsoft виправила 9 критичних вразливостей в своїх продуктах

11:30
Microsoft виправила 9 критичних вразливостей в своїх продуктах

    У вівторок, 8 жовтня, компанія Microsoft випустила чергові щомісячні оновлення безпеки для своїх продуктів. В цілому було виправлено 59 уразливостей в Windows і пов'язаному ПЗ, 9 з яких є критичними, 49 — небезпечними і 1 — середньої небезпеки.

    Дві критичні уразливості (CVE-2019-1238 і CVE-2019-1239), що дозволяють віддалено виконати код, були виправлені в VBScript. Проблеми пов'язані з тим, як VBScript обробляє об'єкти в пам'яті, і дозволяють атакуючому викликати пошкодження пам'яті і виконати довільний код у контексті поточного користувача. Для експлуатації вразливостей зловмисник повинен хитрістю змусити жертву відкрити особливим чином конфігурований сайт в браузері Internet Explorer.
   Проексплуатувати обидві уразливості можна також за допомогою програми або документа Microsoft Office, вмонтувавши елемент управління ActiveX, зазначений як «безпечний для ініціалізації» і використовує движок браузера Internet Explorer.
     Як і в минулому місяці, Microsoft виправила чергову уразливість у вбудованому в Windows додатку Remote Desktop Client, що дозволяє отримати контроль над комп'ютерами шляхом підключення їх до шкідливого RDP-сервера. На відміну від червоподібної уразливості BlueKeep, новоспечена вразливість не саморосповсюджується, і для її експлуатації зловмисник повинен змусити жертву підключитися до шкідливого RDP-сервера або за допомогою соціальної інженерії, або шляхом «отруєння» кешу DNS (DNS cache poisoning), або здійснивши атаку «людина посередині ».
     Три критичні уразливості, що дозволяють віддалено виконати код, були також виправлені в скриптовому движку Chakra. Проблеми існують через те, як Chakra обробляє об'єкти в пам'яті в Microsoft Edge, і призводять до пошкодження пам'яті. Одна критична уразливість дозволяє підвищити привілеї і виникає, коли Azure App Service в Azure Stack не перевіряє довжину буфера перш, ніж скопіювати в нього пам'ять.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.