Microsoft устранила 112 уязвимостей, в том числе большую дыру в безопасности Windows

Компания Microsoft начала распространение очередного обновления безопасности, которое было выпущено сегодня в рамках программы Patch Tuesday. Ноябрьский патч безопасности исправляет 112 уязвимостей в широком спектре продуктов Microsoft, начиная от браузера Edge и заканчивая службой Windows WalletService.

Одной из главных проблем, которые решает ноябрьский патч безопасности, является уязвимость нулевого дня CVE-2020-17087, которая связана с работой одной из функций Windows Kernel Cryptography Driver (cng.sys) и относится к категории багов переполнения буфера. Согласно имеющимся данным, проблема затрагивает все поддерживаемые версии программной платформы Windows 10. Уязвимость также присутствует в Windows 7 и поддерживаемых версиях Windows Server.

Уязвимость нулевого дня в Windows была раскрыта несколько дней назад специалистами Google Project Zero. Она эксплуатируется вместе с уязвимостью браузера Chrome. Специалисты сообщили, что уязвимость в Chrome позволяет осуществить удалённое выполнение кода в браузере, тогда как баг Windows делает возможным выход за пределы песочницы Chrome и делает возможным выполнение кода на уровне системы. Уязвимость в Chrome уже была устранена вместе с обновлением браузера, а выпущенный сегодня патч исправит ошибку в Windows. Стоит отметить, что упомянутая уязвимость активно использовалась хакерами на практике, поэтому не стоит затягивать с установкой обновления.

Кроме этого, ноябрьский патч безопасности устраняет ещё 111 уязвимостей в разных продуктах Microsoft, в том числе 24 уязвимости, связанные с удалённым выполнением кода. Опасные уязвимости затрагивают разные программные продукты, в том числе Excel, SharePoint, Exchange Server и др.

Источник: