Среди 9 критических уязвимостей, 6 проблем безопасности с идентификаторами CVE-2018-8583, CVE-2018-8617, CVE-2018-8618, CVE-2018-8624, CVE-2018-8634 и CVE-2018-8629 являются уязвимостями повреждения памяти в JScript движке Chakra.
Расположенные удаленно злоумышленники могли исполнять произвольный код на подверженных данным 6 уязвимостям машинах после успешной эксплуатации, в которой был задействован специальный подконтрольный им контент на сайте, перенаправляющий пользователя на вредоносную веб-страницу во время сеанса Microsoft Edge.
Остальные три критические уязвимости с идентификаторами CVE-2018-8540, CVE-2018-8626 и CVE-2018-8631 связаны с удаленной инъекцией произвольного кода в Microsoft .NET Framework, удаленным выполнением кода за счет эксплуатации ошибок в серверах Windows DNS и Internet Explorer соответственно.
Атакующие могли получить полный контроль над устройствами, затронутыми уязвимостью в фреймворке Microsoft .NET. Для этого могли использоваться специальные поля ввода, отображаемые в приложениях, использующих уязвимые методы .NET.
Уязвимости удаленного исполнения кода в серверах Windows DNS и Internet Explorer позволяли злоумышленникам выполнить произвольный код на затронутых системах в контексте авторизованного пользователя.
Согласно внутренней классификации Microsoft, критические уязвимости связаны с сетевыми червями или сценариями обычного использования, когда компрометация клиентской машины происходит без каких-либо предупреждений и запросов.
Microsoft исправила также несколько десятков уязвимостей, помеченных как важные. Они также могли приводить к удаленному исполнению кода и затрагивали несколько программных продуктов, начиная от пакета продуктивности Microsoft Office и заканчивая движком VBScript в Internet Explorer.
Вообще говоря, в декабре Microsoft исправила проблемы безопасности, затрагивающие следующие продукты и сервисы: Adobe Flash Player, Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office и Службы Microsoft Office и веб-приложения, ChakraCore, .NET Framework, Microsoft Dynamics NAV, Microsoft Exchange Server, Microsoft Visual Studio и Windows Azure Pack (WAP).
Последние статьи #Windows
• Phison: данные о сбоях SSD из-за обновлений Windows 11 не воспроизвелись в тестах
• Microsoft улучшит качество звука в Windows 11 с «суперширокополосным стерео» Bluetooth LE Audio
• Обновление Windows Terminal 1.23: масштабное обновление с новой архитектурой окон и улучшенной настройкой
• Обновление KB5064080 (Build 22631.5840) Preview для Windows 11, версия 23H2
• Обновление KB5063842 (Build 19045.6282) Preview для Windows 10, версия 22H2
• Microsoft представила VM Conversion — инструмент для миграции виртуальных машин VMware в Hyper-V