Из 21 критической проблемы, 17 уязвимостей затрагивают скриптовые движки и браузеры (Internet Explorer и Microsoft Edge), поэтому пользователям рекомендуется как можно скорее обновить свои устройства, особенно если они подключены к Интернету.
Три различные уязвимости затрагивают систему виртуализации Hyper-V: CVE-2019-0620, CVE-2019-0709 и CVE-2019-0722. Они позволяют авторизованным в гостевых системах пользователям произвольный код на хосте.
Microsoft раскрывает подробности проблемы:
Уязвимость удаленного исполнения кода проявляется, когда система Hyper-V на хост-сервере не может корректно обработать данные, вводимые авторизированным пользователем в гостевой операционной системе. Для эксплуатации данной уязвимости, атакующему требуется поместить в гостевую систему специально созданное приложение, которое позволит выполнять произвольный код на хост-системе Hyper-V.
Данная проблема не была публично раскрыта, и компания считает очень низкой вероятность подобной атаки в реальных условиях.
Также исправлена уязвимость удаленного исполнения кода в Microsoft Speech API, известная под идентификатором CVE-2019-0985. Данная уязвимость затрагивает операционные системы Windows 7 и Windows Server 2008 R2. Microsoft отмечает, что для проведения атаки злоумышленник должен вынудить пользователя открыть на уязвимой машине специально созданный документ с TTS содержимым.
Microsoft сообщает:
Обнаружена уязвимость удаленного выполнения кода, которая проявляется, когда Microsoft Speech API некорректно обрабатывает речевой ввод текста (преобразование текста в речь). Эта уязвимость приводит к повреждению памяти, в результате чего злоумышленник может выполнить произвольный код в контексте текущего пользователя.
Microsoft также заблокировала сопряжение с ключами Bluetooth Low Energy, имеющими ошибки конфигурации из-за проблемы безопасности ключей FIDO.
Компания объясняет, в чем опасность проблемы:
Из-за некорректной конфигурации протоколов сопряжения Bluetooth, располагаемый физически близко к жертве злоумышленник может взаимодействовать с ключом безопасности или с сопряженным устройством, для которого применен ключ.
На данный момент нет сообщений о неудачных обновлениях. Пользователям рекомендуется установить патчи безопасности как можно скорее, чтобы устранить критические уязвимости.
Последние статьи #Windows
• Microsoft продолжает перенос настроек из Панели управления в приложение «Параметры» в Windows 11
• Microsoft выпустила Recall, функцию Click to Do и умный поиск на основе ИИ для Copilot+ ПК – доступно в KB5055627 для Windows 11, версия 24H2
• Microsoft устраняет баг с перегрузкой процессора при наборе писем в Outlook
• Обновление KB5055632 (Build 26200.5570) для Windows 11, версия 24H2 (Dev)
• Обновление KB5055634 (Build 26120.3941) для Windows 11, версия 24H2 (Beta)
• Обновление KB5055627 (Build 26100.3915) Preview для Windows 11, версия 24H2