Самая серьезная проблема безопасности связана с уязвимостью в CryptoAPI (Crypt32.dll), основной криптографической библиотеке Windows. Данная проблема была обнаружена Агентством Национальной Безопасности США. Именно ведомство проинформировало Microsoft о своей находке.
Уязвимость, получившая идентификатор CVE-2020-0601, представляет серьезную опасность. Она позволяют атакующему лицу подделывать цифровые подписи и запускать MITM-атаки («человек посередине») в зашифрованных по HTTPS подключениях.
Еще две важные уязвимости с идентификаторами CVE-2020-0609 и СVE-2020-0610 были обнаружены в серверных операционных системах – Windows Server 2016 и Windows Server 2012. Согласно Microsoft, работающий в этих системах компонент Windows Remote Desktop Gateway (RD Gateway) содержит уязвимости удаленного исполнения кода, которая позволяет киберпреступнику получить контроль над уязвимым сервером за счет установления RDP-подключения и отправки определенных запросов. Эксплуатация осуществляется до момента аутентификации и не требует участия владельца сервера.
В целом, данный Вторник Патчей оказался менее результативным, чем большинство Вторников Патчей 2019 года. Тем не менее, рассмотренные три уязвимости требуют немедленного развертывания обновлений безопасности.
Пользователям рекомендует скачать и установить данные патчи как можно скорее.
Кроме Windows, Microsoft выпустила исправления и для других своих продуктов: Internet Explorer, ASP.NET, .NET Framework, Microsoft Dynamics, OneDrive для Android, Microsoft Office и службы и веб-приложения Microsoft Office.
Дополнительная информация по Вторнику Патчей:
- На официальном портале Security Update Guide все обновления безопасности перечислены в таблице с сортировкой.
- Дополнительный анализ Вторника Патчей проведен SANS ISC и Trend Micro.
- Adobe также выпустила ежемесячные обновления безопасности.
- Компания VMWare выпустила исправления для своих продуктов – here и here.
- Компания Intel также представила обновления безопасности.
- Вышли критические патчи Q1 от Oracle.
- Доступны обновления безопасности для Android. Патчи стали поставляться владельцам смартфонов на прошлой неделе.
Последние статьи #Windows
• 20 мая Microsoft проведет мероприятие, посвященное интеграции ИИ в Windows и устройства Surface
• Обновление KB5037139 (Build 26080.1300) для Windows 11, версия 24H2 (Dev)
• Доступен скрипт для обновления между редакциями Windows 11 и Windows 10 Домашняя/Pro без переустановки ОС
• Microsoft снова вставляет всплывающую рекламу в Chrome для Windows
• Как скачать ISO-образ Windows 11 / Windows 10 с помощью UUP dump
• Microsoft завершит поддержку 1024-битных ключей RSA для TLS в Windows: Старые веб-приложения перестанут работать