Среди 9 критических уязвимостей, 6 проблем безопасности с идентификаторами CVE-2018-8583, CVE-2018-8617, CVE-2018-8618, CVE-2018-8624, CVE-2018-8634 и CVE-2018-8629 являются уязвимостями повреждения памяти в JScript движке Chakra.
Расположенные удаленно злоумышленники могли исполнять произвольный код на подверженных данным 6 уязвимостям машинах после успешной эксплуатации, в которой был задействован специальный подконтрольный им контент на сайте, перенаправляющий пользователя на вредоносную веб-страницу во время сеанса Microsoft Edge.
Остальные три критические уязвимости с идентификаторами CVE-2018-8540, CVE-2018-8626 и CVE-2018-8631 связаны с удаленной инъекцией произвольного кода в Microsoft .NET Framework, удаленным выполнением кода за счет эксплуатации ошибок в серверах Windows DNS и Internet Explorer соответственно.
Атакующие могли получить полный контроль над устройствами, затронутыми уязвимостью в фреймворке Microsoft .NET. Для этого могли использоваться специальные поля ввода, отображаемые в приложениях, использующих уязвимые методы .NET.
Уязвимости удаленного исполнения кода в серверах Windows DNS и Internet Explorer позволяли злоумышленникам выполнить произвольный код на затронутых системах в контексте авторизованного пользователя.
Согласно внутренней классификации Microsoft, критические уязвимости связаны с сетевыми червями или сценариями обычного использования, когда компрометация клиентской машины происходит без каких-либо предупреждений и запросов.
Microsoft исправила также несколько десятков уязвимостей, помеченных как важные. Они также могли приводить к удаленному исполнению кода и затрагивали несколько программных продуктов, начиная от пакета продуктивности Microsoft Office и заканчивая движком VBScript в Internet Explorer.
Вообще говоря, в декабре Microsoft исправила проблемы безопасности, затрагивающие следующие продукты и сервисы: Adobe Flash Player, Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office и Службы Microsoft Office и веб-приложения, ChakraCore, .NET Framework, Microsoft Dynamics NAV, Microsoft Exchange Server, Microsoft Visual Studio и Windows Azure Pack (WAP).
Последние статьи #Windows
• Microsoft делает «Ключи доступа» стандартом: новые учетные записи создаются без пароля по умолчанию
• Windows 11 получит новую страницу «Расширенные настройки» в приложении «Параметры» – для опытных пользователей
• Microsoft повысила цены на игры, консоли Xbox и аксессуары
• Microsoft продолжает перенос настроек из Панели управления в приложение «Параметры» в Windows 11
• Microsoft выпустила Recall, функцию Click to Do и умный поиск на основе ИИ для Copilot+ ПК – доступно в KB5055627 для Windows 11, версия 24H2
• Microsoft устраняет баг с перегрузкой процессора при наборе писем в Outlook