TechGenix Patch Central: февральское исправление Microsoft, вторник
Февраль — самый короткий месяц даже в этом високосном году, но это не значит, что уязвимостей, которые нужно исправить, не хватает. На самом деле, февральские обновления безопасности Microsoft, выпущенные во вторник, касаются большего числа, чем обычно: целых 99.
Это включает 72 уязвимости в последних версиях Windows 10, 50 в Windows 8.1 и 47 в Windows 7 для тех, у кого есть ESU (расширенные обновления безопасности) через корпоративное лицензирование и поставщиков облачных решений, которые включают обновления безопасности для критических и важных проблем, как определено. Microsoft Security Response Center (MSRC) в течение максимум трех лет после 14 января 2020 г. (доступно для покупки только для выпусков Windows 7 Professional и Enterprise).
На стороне сервера ситуация аналогичная: 73 уязвимости исправлены в Server 2019, 65 — в Server 2016, 50 — в Server 2012 R2 и 47 — в Server 2008 R2 с ESU.
Стоит отметить, что компьютеры под управлением Windows 7 или Server 2008 R2 без покупки ЕСУ не будут получать обновления в этом месяце, так как поддержка ОС закончилась 14 января 2020 года. Подробнее о ЕСУ можно узнать на сайте поддержки Microsoft. Если вы попытаетесь обновить компьютер с Windows 7, на котором нет ESU, вы можете получить сообщение об ошибке, в котором говорится: «Не удалось настроить обновления Windows. Отмена изменений» и предупреждает вас не выключать компьютер.
Хорошей новостью является то, что только пять уязвимостей, устраненных в этом месяце для клиентских и серверных операционных систем Windows, оцениваются как критические. Плохая новость заключается в том, что все эти уязвимости действительно затрагивают Windows 7, поэтому те, кто не может обновить ОС, уязвимы для атак.
Критические уязвимости клиента и сервера Windows
Давайте теперь посмотрим на каждую из критических проблем, исправленных в февральском патче Microsoft:
CVE-2020-0662: Уязвимость удаленного выполнения кода Windows
Это проблема обработки памяти, которая создает уязвимость, которую можно использовать для запуска произвольного кода с повышенными разрешениями путем создания специально разработанного запроса. Он не был публично раскрыт до выпуска патча, и нет никаких сообщений о том, что он использовался в дикой природе. Эксплуатация менее вероятна, поскольку злоумышленнику потребуется учетная запись пользователя домена. Однако он обозначен как критический во всех поддерживаемых в настоящее время версиях Windows Server (включая установки ядра сервера) и клиентских операционных системах Windows 8.1, 7 и 10. Корпорация Майкрософт не выявила каких-либо смягчающих факторов или обходных путей для этой проблемы.
CVE-2020-0681: Уязвимость удаленного выполнения кода клиента удаленного рабочего стола
Это уязвимость в клиентском программном обеспечении удаленного рабочего стола (RDP), которое входит в состав Windows. Это уязвимость удаленного выполнения кода, с помощью которой злоумышленник может выполнить произвольный код на клиентском компьютере, который подключается к вредоносному серверу или скомпрометированному законному серверу. Он не был публично раскрыт до выпуска патча, и нет никаких сообщений о том, что он использовался в дикой природе. Эксплуатация маловероятна, поскольку злоумышленнику необходимо получить контроль над сервером и убедить пользователя подключиться к нему. Однако он обозначен как критический во всех поддерживаемых в настоящее время версиях Windows Server (включая установки ядра сервера) и клиентских операционных системах Windows 8.1, 7 и 10. Корпорация Майкрософт не выявила каких-либо смягчающих факторов или обходных путей для этой проблемы.
CVE-2020-0729: Уязвимость LNK, делающая возможным удаленное выполнение кода
Это уязвимость в Windows, связанная с обработкой файлов ссылок (.LNK). Это еще одна уязвимость удаленного выполнения кода, которую можно использовать для запуска произвольного кода с теми же правами, что и вошедший в систему пользователь. Он не был публично раскрыт до выпуска патча, и нет никаких сообщений о том, что он использовался в дикой природе. Эксплуатация маловероятна, так как злоумышленнику потребуется предоставить пользователю вредоносный файл.LNK и убедить пользователя открыть его. Однако он обозначен как критический во всех поддерживаемых в настоящее время версиях Windows Server (включая установки ядра сервера) и клиентских операционных системах Windows 8.1, 7 и 10. Корпорация Майкрософт не выявила каких-либо смягчающих факторов или обходных путей для этой проблемы.
CVE-2020-0734: Уязвимость удаленного выполнения кода клиента удаленного рабочего стола
Это еще одна уязвимость в клиенте удаленного рабочего стола в Windows, похожая на CVE-2020-0681, описанную выше. Подобно этому, он работает, когда клиент подключается к вредоносному или скомпрометированному серверу, поэтому злоумышленник должен иметь контроль над таким сервером, что снижает вероятность его эксплуатации. Он не был публично раскрыт до выпуска патча, и нет никаких сообщений о том, что он использовался в дикой природе. Как и остальные уязвимости в этом списке, она обозначена как критическая во всех поддерживаемых в настоящее время версиях Windows Server (включая установки ядра сервера) и клиентских операционных системах Windows 8.1, 7 и 10, и Microsoft не выявила каких-либо смягчающих факторов. факторы или обходные пути для решения проблемы.
CVE-2020-0738: Уязвимость Media Foundation, приводящая к повреждению памяти
Эта последняя из пяти критических уязвимостей Windows связана с повреждением памяти в Windows Media Foundation. WMF — это мультимедийная среда и платформа, используемые для разработки приложений и компонентов для использования цифровых мультимедиа в Windows Vista и более поздних операционных системах. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя посетить вредоносный веб-сайт или открыть вредоносный документ. Эксплуатация менее вероятна, такие действия пользователя требуются. Однако он обозначен как критический во всех поддерживаемых в настоящее время версиях Windows Server (включая установки ядра сервера) и клиентских операционных системах Windows 8.1, 7 и 10. Корпорация Майкрософт не выявила каких-либо смягчающих факторов или обходных путей для этой проблемы.
Уязвимости веб-браузера Windows
Microsoft исправила семь и три уязвимости в (старом) веб-браузере Edge и Internet Explorer 11 соответственно.
ПРИМЕЧАНИЕ. Если вы используете новую версию Edge, основанную на Chromium, см. Блог Google Chrome Releases Blog для получения информации об уязвимостях, исправленных в обновлении стабильного канала версии 80.0.361.48. Мы также освещаем ежемесячные обновления Chromium в нашем ежемесячном обзоре обновлений безопасности для продуктов сторонних производителей.
Ниже перечислены две критические уязвимости, исправленные в IE 11:
CVE-2020-0673 и CVE-2020-0674 — обе они представляют собой уязвимости, приводящие к повреждению памяти обработчика сценариев, которые можно использовать для удаленного выполнения кода в контексте текущего пользователя. Эксплуатация считается более вероятной.
Обратите внимание, что CVE-2020-0674 считается уязвимостью нулевого дня. Атаки, использующие эту уязвимость, были обнаружены в январе, и тогда же компания выпустила рекомендации по безопасности ADV200001. Представляется, что это были целенаправленные атаки против ограниченного числа жертв.
Ниже перечислены пять критических уязвимостей, исправленных в версии Edge, отличной от Chromium:
CVE-2020-0710, CVE-2020-0711, CVE-2020-0712, CVE-2020-0713 и CVE-2020-0767 — это уязвимости обработчика сценариев в обработчике сценариев ChakraCore, которые могут быть использованы для удаленного выполнения кода в контекст текущего пользователя. Эксплуатация считается менее вероятной.
Следующие четыре критические уязвимости были исправлены в версии Edge на основе Chromium:
CVE-2020-6378, CVE-2020-6379, CVE-2020-6380 и CVE-2020-0601 — к ним относятся две проблемы использования после освобождения, которые позволили удаленному злоумышленнику потенциально использовать повреждение кучи, недостаточное применение политик в расширениях. это может позволить удаленному злоумышленнику обойти изоляцию сайта, а также уязвимость спуфинга в Windows CryptoAPI, которая может быть использована для того, чтобы вредоносный исполняемый файл выглядел как полученный из надежного источника.
Дополнительную информацию и список некритических CVE, рассмотренных в версии Edge на основе Chromium, можно найти в рекомендациях по безопасности Microsoft ADV200002.
Другие продукты
Помимо обновлений для Windows и веб-браузеров, в этом месяце Microsoft выпустила обновления для Microsoft Office и Office Web Apps, ASP.NET core,.NET core,.NET Framework, Microsoft Dynamics и OneDrive для Android.
Ни одно из обновлений для Office не является критическим. Среди исправленных уязвимостей:
CVE-2020-0693: XSS-уязвимость Microsoft Office SharePoint
CVE-2020-0694: XSS-уязвимость Microsoft Office SharePoint
CVE-2020-0695: уязвимость Microsoft Office Online Server, связанная с спуфингом
CVE-2020-0696: Уязвимость обхода функции безопасности Microsoft Outlook
CVE-2020-0697: Уязвимость Microsoft Office, связанная с фальсификацией
CVE-2020-0759: Уязвимость удаленного выполнения кода в Microsoft Excel
CVE-2020-0695: Уязвимость Microsoft Office Online Server, связанная с спуфингом
Все они оцениваются как важные. Дополнительную информацию об этих обновлениях можно найти по ссылкам или в Руководстве по обновлениям безопасности на портале MSRC.