 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
26 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Большая часть патчей закрывает бреши в браузерах и связанных с ними компонентах, в частности, в JS-движке Chakra.
Компания Microsoft закрыла 15 критических уязвимостей в рамках мартовского вторника патчей. Всего производитель ПО выпустил 75 исправлений, 61 из которых отнесено к важным. Наиболее срочные заплатки получили браузеры Microsoft и связанные с ними технологии, в частности фирменный JavaScript-движок Chakra.
Из 21 браузерного патча 14 являются критическими. При этом одна из заплаток для скриптового движка устраняет сразу 14 багов повреждения памяти.
В бюллетене Microsoft отмечено, что все новые проблемы в Chakra связаны с обработкой объектов в памяти. Из-за этого баг CVE-2018-0930, например, дает злоумышленнику возможность приспособить сайт для эксплойта через Microsoft Edge или встроить в веб-страницу вредоносную рекламу, подготовив тем самым почву для атаки.
«Уязвимость позволяет повредить память таким образом, что взломщику удается выполнить произвольный код в контексте текущего пользователя, — пишут представители Microsoft. — Успешно применив эксплойт, злоумышленник получает те же права, что и текущий пользователь».
Если в момент атаки кто-то работает из-под учетной записи администратора, преступник сможет взять под контроль зараженную систему и устанавливать программы, просматривать содержимое папок, изменять файлы и удалять их.
В пакет патчей за текущий месяц также включено дополнительное обновление к уязвимостям Meltdown. Теперь меры противодействия эксплойту Meltdown и Spectre реализованы и для 32-разрядных версий Windows 7 и 8.1, а также для Windows Server 2008 и 2012.
«В этом месяце разработчики уделили особое внимание ядру Windows. Скорее всего, это связано с проблемами Meltdown и Spectre. Я сбился со счета, когда количество CVE перевалило за десяток. Радует то, что ни один из багов не получил рейтинг выше серьезного, и все-таки потребовалось сильно изменить ядро», — комментирует Крис Гётль (Chris Goettl), директор по управлению продуктами и безопасности в Ivanti.
Есть и другие исправленные ошибки, достойные упоминания. В их числе — важная уязвимость удаленного выполнения кода (CVE-2018-0886) в протоколе Microsoft Credential Security Support Provider (CredSSP), организующем цепочку аутентификации пользователя при переходе между клиентами.
«Для примера, возможен такой сценарий атаки на протокол удаленного рабочего стола через эту уязвимость: злоумышленник запускает специальное приложение и подключается к сеансу RDP из положения man-in-the-middle. Это дает преступнику возможность устанавливать новые программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с любыми полномочиями», — пишут специалисты Microsoft.
Не менее опасна брешь в оболочке Windows Shell (CVE-2018-0883), о чем заявил Джимми Грэм (Jimmy Graham), директор по управлению продукцией Qualys, в посте, посвященном анализу «вторника патчей». Данная уязвимость представляет собой баг удаленного выполнения кода. Чтобы им воспользоваться, необходимо заставить пользователя загрузить и открыть вредоносный файл. Эксперт рекомендует установить заплатку к этой бреши на рабочих станциях в приоритетном порядке.
В пакете Microsoft Office разработчик закрыл 13 багов, связанных с SharePoint, как отмечено в блоге Zero Day Initiative (ZDI). Все недоработки касаются санации ввода и открывают возможность для межсайтового скриптинга (XSS)
«В этом месяце не обошлось без нескольких патчей для Exchange, появление которых всегда нервирует системных администраторов. Кроме того, в мартовском выпуске нашлось место исправлениям для ASP.NET и компонентов ОС Windows. Пользователям приложений ASP.NET Core однозначно стоит обратить на них внимание, поскольку некоторые из багов приводят к аварийному завершению приложений», — считают специалисты ZDI.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
