Истина где-то ниже
Декабрь 13, 2018

Обновление Windows устранит уязвимость 0-day

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

В рамках декабрьского «вторника патчей» Microsoft закрыла брешь нулевого дня, уже используемую в атаках.

Согласно бюллетеню, уязвимость CVE-2018-8611 открывает возможность для повышения привилегий и присутствует во всех поддерживаемых версиях Windows. Ее обнаружили эксперты «Лаборатории Касперского»; степень опасности бреши оценена как высокая (7 баллов по шкале CVSS).

Причиной появления уязвимости, со слов Microsoft, является некорректная обработка объектов ядра в памяти. «В случае успешной эксплуатации злоумышленник сможет запустить любой код на исполнение в режиме ядра, — сказано в бюллетене компании. — Он получит возможность устанавливать программы, просматривать, изменять или удалять данные, а также создавать учетные записи с полным набором прав пользователя».

Помимо бреши нулевого дня Microsoft пропатчила еще 39 уязвимостей в разных продуктах: Internet Explorer, Edge, ChackraCore, Windows, приложениях и сервисах Office, фреймворке .NET.

Уязвимость отказа в обслуживании в наборе .NET Framework (CVE-2018-8517) стала достоянием общественности еще до выпуска патча, однако рабочих эксплойтов для нее, согласно бюллетеню, пока нет. Воспользоваться этой брешью можно через особый запрос, который можно подать удаленно и без аутентификации.

Пять критических уязвимостей крылись в JavaScript-движке Chakra, который использует браузер Edge. Все они связаны с нарушением целостности памяти и позволяют выполнить произвольный код в контексте текущего пользователя. Если вход выполнен под учетной записью администратора, атака грозит захватом контроля над системой.

«Патчам для браузеров и скриптовых движков следует отдать предпочтение, если речь идет о рабочих станциях, то есть системах, на которых работают с электронной почтой или выходят в Интернет, — советуют эксперты Qualys, разбирая новый выпуск Microsoft. — К этой категории относятся также многопользовательские серверы, используемые в качестве удаленного рабочего стола. Из девяти критических уязвимостей шесть можно эксплуатировать через браузер».

Примечательна также RCE-уязвимость CVE-2018-8634, проявляющаяся в Windows при выполнении преобразования текста в речь. «Этот патч интересен по двум причинам, — пишет Дастин Чайлдс (Dustin Childs) в блоге Zero Day Initiative. — Во-первых, новые функции вроде преобразования текста в речь в какой-то мере расширяют площадь атаки. Баги, связанные с переводом текста в речь, встречались и ранее, но они достаточно редки. Во-вторых, Microsoft не приводит примерный сценарий эксплойта, но поскольку синтез речи запускается по запросу HTTP POST, не исключено, что брешь можно использовать удаленно, если к приложению есть доступ по сети. Как бы то ни было, этот патч Microsoft достоин внимания».

Источник: https://threatpost.ru/zero-day-microsoft-december-patch-tuesday/29694/