Обновить сейчас! Исправлены ошибки нулевого дня в Windows во вторник 14.04.2020

Пандемия COVID-19 может вызывать задержки в расписании программ, но ей не удалось остановить своевременное обновление Microsoft, выпущенное во вторник, на этой неделе.

Это также хорошо, потому что срочные исправления обновления устраняют три неотложных недостатка нулевого дня, которые, по словам Microsoft, используются в инете.

В общей сложности Windows 10, Windows 8.1,В Windows 7 и Windows Server имеется 113 недостатков уровня CVE, 19 из которых помечены как критические.

Недостатки нулевого дня немного сбивают с толку, во-первых, потому что Microsoft первоначально сказала, что их было четыре, прежде чем решить, что CVE-2020-0968, критическая проблема механизма сценариев Internet Explorer 11,еще не эксплуатировался (но скоро может быть).

Самым простым из нулевых дней является CVE-2020-1027, уязвимость повышения привилегий, затрагивающая ядро ​​Windows, которую Microsoft подтвердила как «обнаруженная эксплуатация».

Между тем, второй CVE-2020-1020 - это уязвимость удаленного выполнения кода (RCE), затрагивающая интегрированную библиотеку Adobe Type Manager (ATM) OpenType, которая была первоначально опубликована в конце марта без идентифицирующего CVE.

За исключением того, что теперь он оказывается не одним, а двумя CVE, со вторым недостатком RCE в том же программном обеспечении, CVE-2020-0938, который присоединяется к нему. Microsoft не сказала, как или кем используются эти недостатки, кроме того, что они описывают их как «ограниченные целевые атаки». Это код для изъяна, который используется одной группой угроз и в конечном итоге распространится на других.

Существует также еще один общественный, но пока еще не исследованный недостаток, отмеченный как важный, CVE-2020-0935, вопрос повышения привилегий в OneDrive. Срочность заключается в том, что OneDrive работает на большом количестве ПК и станет привлекательной целью для любого киберпреступника. Хотя он имеет собственный механизм обновления, все же стоит проверить, что произошло.

Критические уязвимости

По иронии судьбы, три дня с нулем выше также отмечены как «важные», именно поэтому некоторые администраторы будут уделять столько же внимания тем, кто помечен как критический, например CVE-2020-0910, Hyper-V Hypervisor RCE.

SharePoint получает исправления для четырех срочных RCE, CVE-2020-0929, CVE-2020-0931, CVE-2020-0932 и CVE-2020-0974, а также CVE-2020-0927, уязвимости межсайтового скриптинга (XSS).Уязвимость в способе обработки объектов в памяти Windows Media Foundation содержит три исправления: CVE-2020-0948, CVE-2020-0949 и CVE-2020-0950.

Adobe

После длинного списка исправлений в марте, есть только несколько исправлений уровня CVE для ColdFusion, After Effects и Digital Editions. Компания иногда выпускает более срочные исправления между обновлениями Patch Tuesday. В прошлом месяце он даже полностью уложился в срок и выпустил патчи через неделю.

Intel

Приуроченный ко второму патчу, Intel выпустила девять исправлений безопасности для целого ряда продуктов. Два из них оценены как критические, недостаток встроенного программного обеспечения NUC для мини-ПК компании (CVE-2020-0600) и модульного вычислительного модуля Intel для серверов (CVE-2020-0578). Возможно, наиболее распространенным является CVE-2020-0557, который затрагивает длинный список продуктов компании PROSet / Wireless WiFi.

 

Oracle

Последним является Oracle, который использует свою базу пользователей с 405 исправлениями безопасности, многие попадают в верхнюю часть критического.

Не откладывайте на потом – обновитесь!