Компания Microsoft закрыла 15 критических уязвимостей в рамках мартовского вторника патчей. Всего производитель ПО выпустил 75 исправлений, 61 из которых отнесено к важным. Наиболее срочные заплатки получили браузеры Microsoft и связанные с ними технологии, в частности фирменный JavaScript-движок Chakra.

Из 21 браузерного патча 14 являются критическими. При этом одна из заплаток для скриптового движка устраняет сразу 14 багов повреждения памяти.

В бюллетене Microsoft отмечено, что все новые проблемы в Chakra связаны с обработкой объектов в памяти. Из-за этого баг CVE-2018-0930, например, дает злоумышленнику возможность приспособить сайт для эксплойта через Microsoft Edge или встроить в веб-страницу вредоносную рекламу, подготовив тем самым почву для атаки.

«Уязвимость позволяет повредить память таким образом, что взломщику удается выполнить произвольный код в контексте текущего пользователя, — пишут представители Microsoft. — Успешно применив эксплойт, злоумышленник получает те же права, что и текущий пользователь».

Если в момент атаки кто-то работает из-под учетной записи администратора, преступник сможет взять под контроль зараженную систему и устанавливать программы, просматривать содержимое папок, изменять файлы и удалять их.

В пакет патчей за текущий месяц также включено дополнительное обновление к уязвимостям Meltdown. Теперь меры противодействия эксплойту Meltdown и Spectre реализованы и для 32-разрядных версий Windows 7 и 8.1, а также для Windows Server 2008 и 2012.

«В этом месяце разработчики уделили особое внимание ядру Windows. Скорее всего, это связано с проблемами Meltdown и Spectre. Я сбился со счета, когда количество CVE перевалило за десяток. Радует то, что ни один из багов не получил рейтинг выше серьезного, и все-таки потребовалось сильно изменить ядро», — комментирует Крис Гётль (Chris Goettl), директор по управлению продуктами и безопасности в Ivanti.

Есть и другие исправленные ошибки, достойные упоминания. В их числе — важная уязвимость удаленного выполнения кода (CVE-2018-0886) в протоколе Microsoft Credential Security Support Provider (CredSSP), организующем цепочку аутентификации пользователя при переходе между клиентами.

«Для примера, возможен такой сценарий атаки на протокол удаленного рабочего стола через эту уязвимость: злоумышленник запускает специальное приложение и подключается к сеансу RDP из положения man-in-the-middle. Это дает преступнику возможность устанавливать новые программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с любыми полномочиями», — пишут специалисты Microsoft.

Не менее опасна брешь в оболочке Windows Shell (CVE-2018-0883), о чем заявил Джимми Грэм (Jimmy Graham), директор по управлению продукцией Qualys, в посте, посвященном анализу «вторника патчей». Данная уязвимость представляет собой баг удаленного выполнения кода. Чтобы им воспользоваться, необходимо заставить пользователя загрузить и открыть вредоносный файл. Эксперт рекомендует установить заплатку к этой бреши на рабочих станциях в приоритетном порядке.

В пакете Microsoft Office разработчик закрыл 13 багов, связанных с SharePoint, как отмечено в блоге Zero Day Initiative (ZDI). Все недоработки касаются санации ввода и открывают возможность для межсайтового скриптинга (XSS)

«В этом месяце не обошлось без нескольких патчей для Exchange, появление которых всегда нервирует системных администраторов. Кроме того, в мартовском выпуске нашлось место исправлениям для ASP.NET и компонентов ОС Windows. Пользователям приложений ASP.NET Core однозначно стоит обратить на них внимание, поскольку некоторые из багов приводят к аварийному завершению приложений», — считают специалисты ZDI.

Категории: Главное, Кибероборона, Уязвимости