В рамках июльского “вторника патчей” Microsoft совокупно закрыла 53 бреши: 17 критических (в том числе десять в скриптовых движках Internet Explorer), 34 “существенных”, одну средней тяжести и одну низкой степени опасности.

“Шестнадцати уязвимостям в браузерах следует отдать приоритет в тех случаях, когда речь идет об устройствах вроде рабочих станций, обычно используемых для выхода в публичный Интернет через браузер или проверки почты, — комментирует Джимми Грэм (Jimmy Graham), директор по управлению продукцией в Qualys. — Это касается также многопользовательских серверов, используемых в качестве удаленного рабочего стола”.

Наиболее серьезны четыре бага нарушения целостности памяти (CVE-2018-8280, CVE-2018-8286, CVE-2018-8290, CVE-2018-8294) в JavaScript-движке Chakra, созданном Microsoft для 32-битной версии IE. Эксплуатация этих уязвимостей позволяет удаленно выполнить произвольный код.

Из пяти брешей, свойственных Microsoft Edge, примечательна CVE-2018-8278 — возможность для спуфинга. Эта уязвимость возникла из-за некорректной обработки некоторого HTML-содержимого; в результате появилась возможность создать жертве иллюзию, будто она находится на легитимном сайте. “Специально созданный сайт может или имитировать контент, или служить связующим звеном, помогающим автору атаки использовать другие уязвимости в веб-сервисах”, — сказано в бюллетене Microsoft.

Примечателен также баг отказа в обслуживании, обнаруженный в DNSAPI (CVE-2018-8304) — специализированной dll-библиотеке Windows. “Хотя эксплойт в данном случае не столь опасен, как CVE-2018-8225, который можно сделать самоходным, тем не менее он позволяет удаленно вывести из строя сервер DNS с помощью вредоносных DNS-ответов”, — отметили участники проекта ZDI в блог-записи, посвященной июльскому “вторнику патчей”.

В наборе Microsoft Office устранена уязвимость, связанная с использованием шрифтов TrueType. Эту брешь (CVE-2018-8310), по словам разработчика, можно использовать в комбинации с другими уязвимостями для компрометации целевой системы. В появлении CVE-2018-8310 повинен Microsoft Outlook, который “неправильно обрабатывает некоторые виды вложений, когда отображает HTML-письма”. Чтобы воспользоваться уязвимостью, автор атаки должен отправить жертве email-сообщение с особым вложением или разместить на веб-сервере вредоносный файл в формате .eml. Этот формат Microsoft специально создала для архивирования писем с сохранением оригинальной HTML-формы и заголовка.

Другие Office-баги затрагивают SharePoint и Skype для бизнеса.

Microsoft также устранила возможность обхода защитных ограничений в криптографической JavaScript-библиотеке (MSR JavaScript Cryptography Library), предназначенной для использования в облаке. Наличие уязвимости позволяло генерировать подписи, имитирующие сущности, ассоциируемые с парой “публичный/приватный ключ”. “Это не обход проверки подлинности парных ключей, а скорее возможность успешно выдать вредоносное ПО за легитимное”, — полагают участники ZDI.

Категории: Главное, Уязвимости