Вторник патчей: Microsoft исправила три уязвимости «нулевого дня» и еще 110 проблем безопасности

14 апреля 2020 года, во второй вторник месяца, известный как Вторник Патчей (Patch Tuesday) компания Microsoft традиционно опубликовала ежемесячные обновление безопасности.

• Обновление KB4549951 для Windows 10, версия 1909 и 1903
• Обновление KB4549949 (Build 17763.1158) для Windows 10, версия 1809
• Обновление KB4550961 для Windows 8.1
• Обновление KB4550964 для Windows 7

Второй месяц подряд компания исправляет большое количество уязвимостей. На этот раз технологический гигант выпустил патчи для 113 уязвимостей, обнаруженных в 11 продуктах. В это число входят три уязвимости «нулевого дня», случаи эксплуатации которых уже были зарегистрированы.

Компания не раскрывает подробную информацию по данных уязвимостям. Это делается намеренно, чтобы дать пользователям время на установку исправлений и помешать злоумышленникам разработать вредоносный код.

В этом месяце были пропатчены следующие уязвимости «нулевого дня»:

• CVE-2020-1020 — уязвимость удаленного исполнения кода в библиотеки шрифтов Windows Adobe Type Manager Library. Эксплуатация уязвимости могла происходить дистанционно. Проблема безопасности не затронула системы Windows 10. Информация о данной уязвимости появилась в прошлом месяце, но патч вышел только 14 апреля.
• CVE-2020-0938 — еще одна аналогичная уязвимость в библиотеке Windows Adobe Type Manager Library. В прошлом месяце Microsoft опубликовала меры по снижению риска эксплуатации, которые позволяли блокировать атаки, использующие данную ошибку.
• CVE-2020-1027 — уязвимость ядра WIndows, позволяющая злоумышленникам запускать код с повышенными привилегиями и полным доступом к ядру системы.

Еще одна уязвимость повреждения памяти в машине сценариев Internet Explorer с идентификатором CVE-2020-0968 первоначально была помечена Microsoft как уязвимость «нулевого дня». Однако, затем информация об уязвимости была скорректирована. Она все же не была использована в реальных атаках, а поэтому не может считаться уязвимостью «нулевого дня».

Microsoft сообщает, что уязвимости «нулевого дня» были обнаружены двумя командами безопасности Google — Project Zero и Threat Analysis Group.

Компания не разглашает дополнительную информацию по вредоносном кампаниям и хакерских группировкам, эксплуатирующим данную уязвимость

Все исправления безопасности, выпущенные во Вторник Патчей, поставляются в одном пакетном обновлении. Установив его, вы получаете все патчи сразу.

Дополнительная информация по Вторнику патчей:

• На официальном портале Security Update Guide все обновления безопасности перечислены в таблице с сортировкой.
• Adobe выпустила обновления безопасности для своих продуктов.
• VMWare выпустила обновления безопасности для своих продуктов.
• Обновления безопасности для Google Chrome были выпущены на прошлой неделе, 7 апреля 2020 года.
• Oracle выпустила вторые с начала года критические патчи (Critical Patch Update). В том числе получили обновления безопасности Java SE Runtime Environment и Oracle VM VirtualBox.
• Доступны обновления безопасности для Android. Патчи стали поставляться владельцам смартфонов на прошлой неделе.