 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
20 апреля, суббота, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
В рамках планового «вторника исправлений» компания Microsoft выпустила пакет обновлений безопасности, в том числе добавляющих поддержку функции, призванной предотвратить атаки с эксплуатацией уязвимости Spectre Variant 4 (CVE-2018-3639), так же известной как Speculative Store Bypass (SSB). О четвертом варианте нашумевших уязвимостей Meltdown-Spectre стало известно в мае нынешнего года. Атака Spectre Variant 4 основана на так называемом спекулятивном выполнении – функции, присущей практически всем современным процессорам. Благодаря ей злоумышленник может осуществить атаку по сторонним каналам и похитить конфиденциальные данные.
С целью устранения риска атак Microsoft добавила в платформы Windows (Windows 10, 7, Windows Server 2008, Windows Server 2016, Windows Server 1709 и 1803) и Azure поддержку функции Speculative Store Bypass Disable (SSBD), предотвращающей эксплуатацию SSB. Компания не раскрыла информацию о том, каким образом можно осуществить подобную атаку. В настоящее время поддержка функции реализована только для устройств с процессорами Intel, для ее активации потребуется обновление микрокода Intel. Обновления для компьютеров на базе процессоров AMD будут доступны позже. Для них обновление прошивки не потребуется.
С выпуском июньского пакета обновлений Microsoft устранила более 50 уязвимостей (в том числе 11 критических), затрагивающих Windows, Internet Explorer, Edge, MS Office, MS Office Exchange Server, ChakraCore и Adobe Flash Player. Наиболее опасной является проблема CVE-2018-8225 в Windows Domain Name System (DNS) DNSAPI.dll, которая затрагивает все версии Windows с 7 по 10, а также все редакции Windows Server. Уязвимость связана с процессом обработки Windows DNS-ответов и может быть проэксплуатирована путем отправки специально сформированных DNS-ответов с подконтрольного злоумышленнику DNS-сервера. Проэксплуатировав проблему, атакующий может выполнить произвольный код в контексте локальной системной учетной записи (Local System Account).
В числе прочих исправлены уязвимости CVE-2018-8231 и CVE-2018-8213 в Windows 10 Windows Server, позволяющие выполнить произвольный код и получить контроль над целевой системой, а также уязвимость нулевого дня в Flash Player, патч для которой был выпущен Adobe на минувшей неделе.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
