В рамках апрельского «вторника патчей» Microsoft устранила две уязвимости в Win32k, уже используемые в реальных атаках. Схожие проблемы, связанные с этим системным компонентом, разработчик уже решал, притом всего месяц назад.

Текст бюллетеней, посвященных брешам CVE-2019-0803 и CVE-2019-0859, одинаков. Обе они возникли из-за некорректной обработки объектов в памяти, обе позволяют повысить привилегии после входа в систему и выполнить любой код на уровне ядра.

Уязвимости, оцененные как существенные, актуальны для всех версий Windows; одну обнаружили эксперты «Лаборатории Касперского», другую — специалисты Alibaba по обеспечению безопасности облачной инфраструктуры. В каких атаках используются эти баги, не сообщается. Судя по всему, это пока единичные случаи. Стоит также отметить, что за последние полгода «Лаборатория Касперского» несколько раз сообщала в Microsoft о похожих проблемах с Win32k.

Суммарно новый набор заплат закрывает более 70 брешей в Windows, Office, и других продуктах компании. Тринадцать уязвимостей признаны критическими; почти все они относятся к типу «удаленное исполнение кода» (RCE) — кроме бага повышения привилегий в SMB-сервере Windows (CVE-2019-0786).

Пропатчен также Adobe Flash Player на Windows 10 и 8.1 — соответствующее обновление (ADV190011) содержит патчи, которые только что выпустила Adobe.

Более двух десятков уязвимостей нового списка представляют собой RCE-баги. Пять из них связаны с работой служб Microsoft XML Core (MSXML), еще пять объявились в движке базы данных Access Connectivity Engine (версия Jet для среды Microsoft Office). В первом случае эксплуатация осуществляется через браузер, если автору атаки удастся заманить пользователя на вредоносный сайт. Во втором потенциальная жертва должна открыть специально созданный файл в офисном приложении.

Удаленным исполнением произвольного кода грозят и шесть критических ошибок нарушения целостности памяти в JavaScript-движке Chakra, работающем в Microsoft Edge. Использование этих уязвимостей, по словам разработчика, позволяет атакующему получить права уровня текущего пользователя.

Эксперты советуют также обратить внимание на RCE-брешь CVE-2019-0853 в графическом интерфейсе Windows, который используют и приложения набора Office, и сама ОС. Согласно записи в блоге проекта Zero Day Initiative, данная уязвимость проявляется при парсинге файлов в формате EMF. Чтобы воспользоваться брешью, злоумышленник должен заставить пользователя открыть вредоносный документ, присланный по почте или размещенный в Интернете.

Согласно бюллетеням Microsoft, ни одна из устраняемых уязвимостей не была опубликована до выхода патчей. Это означает, что бреши нулевого дня в Internet Explorer и Edge, преданные огласке в конце прошлого месяца, по-прежнему открыты для злоупотреблений.

Категории: Главное, Уязвимости