Microsoft исправила 19 критических уязвимостей в своих браузерах

 121

Опубликовано: 16 декабря 13:10

 

Большинство проблем связаны с браузерными движками и могут быть проэксплуатированы удаленным злоумышленником для выполнения произвольного кода.

В рамках "вторника исправлений" Microsoft выпустила плановые обновления безопасности, исправляющие в общей сложности 34 уязвимости, в том числе 19 критических в браузерах компании Internet Explorer и Edge.

В большинстве случаев проблемы связаны с браузерными движками и могут быть проэксплуатированы удаленным злоумышленником для выполнения произвольного кода на уязвимых устройствах. Для успешной атаки хакеру нужно заманить жертву на специально созданный web-сайт или ресурс, на котором распространяются вредоносные рекламные объявления.

По словам исследователей из Trend Micro Zero Day Initiative, интересной проблемой является CVE-2017-11927, представляющая собой уязвимость раскрытия информации в Windows. Данная проблема затрагивает обработчик протокола its:// в Windows. ITS или InfoTech Storage Format - формат хранения, используемый в CHM-файлах.

Как пояснили эксперты, теоретически у пользователя не должно быть доступа к удаленному контенту при использовании ITS вне зоны локального компьютера. Данная проблема была решена с выпуском обновлений в 2005 году. Однако, судя по всему, уязвимость все же сохранилась, предоставляя возможность злоумышленникам обманом заставить пользователя посетить вредоносный сайт, получить доступ к хэшу NTLM, а затем осуществить брутфорс-атаку для получения соответствующего пароля.

Список исправленных уязвимостей также включает в себя проблемы в Office, Exchange, уязвимость эскалации привилегий в SharePoint и уязвимость удаленного выполнения кода в Excel.

По словам представителей Microsoft, ни одна из уязвимостей, исправленных в этом месяце, не была проэксплуатирована злоумышленниками или публично раскрыта до выхода патча.

Ранее в декабре Microsoft выпустила внеплановое обновление безопасности, исправляющее критическую уязвимость в движке Malware Protection Engine (MPE), которая позволяет атакующему получить полный контроль над системой.

Источник


Алексей Днищев

Техно-Инвест разработка - продажа - внедрение ВАШ ВЕРНЫЙ ШАГ

+7 (495) 518-50-49

Закажи обратный звонок!
Узнай все о товаре!
Сделай заказ!
Получи скидку или подарок!
 
 
Корзина пуста