Ноябрьский набор обновлений от Microsoft содержит патчи для 53 уязвимостей, в том числе 25 багов удаленного исполнения кода. Статус «критическая» совокупно получили 20 брешей.

Примечательно, что для четырех уязвимостей — CVE-2017-11848CVE-2017-11827CVE-2017-11883 и CVE-2017-8700 — существуют эксплойты, которые стали достоянием общественности. Тем не менее, по данным Qualys, ни одна из них пока не используется в реальных атаках.

При массовом патчинге эксперты советуют прежде всего залатать бреши порчи памяти в скриптовых движках браузеров Microsoft Edge и Internet Explorer 11, работающих на Windows 10, Windows 8.1 , Windows 7 и Windows Server (version 1709).

«Уязвимость удаленного исполнения кода связана с обработкой скриптовым движком объектов в памяти браузеров Microsoft, — пишет разработчик о багах CVE-2017-11836CVE-2017-11837CVE-2017-11838CVE-2017-11839CVE-2017-11871 и CVE-2017-11873. — Данная уязвимость может привести к нарушению целостности памяти и открыть возможность для выполнения произвольного кода в контексте текущего пользователя».

Эксплойт всех этих уязвимостей возможен через Интернет. «Для эксплуатации уязвимости через Microsoft Edge инициатор атаки может создать особый сайт и заманить на него пользователя, — поясняет Microsoft. — Такие сайты содержат специальный контент для осуществления эксплойта».

В Qualys также подчеркнули настоятельную необходимость установки патча для бага порчи памяти в Microsoft Office (CVE-2017-11882), который сам разработчик расценивает как важный. «Для этой уязвимости может существовать PoC-код, поэтому рекомендуется обратить внимание и на обновления для Office», — сказано в блог-записи Qualys.

Уязвимости CVE-2017-11830 и CVE-2017-11877, обнаруженные участниками Zero Day Initiative (ZDI), позволяют исполнить вредоносный код в обход защитных функций. Первая, согласно записи в блоге ZDI, вызвана некорректностью валидации недоверенных файлов соответствующим компонентом Device Guard Защитника Windows.

«Это означает, что автор атаки может выдать неподписанный файл за подписанный, — пишут исследователи. — Поскольку Device Guard определяет благонадежность на основании действительной подписи, вредоносный файл может быть воспринят как доверенный и запущен на исполнение. Такой баг вполне отвечает чаяниям вирусописателей, так как позволяет выдать эксплойт за доверенный файл в целевой системе».

Уязвимость CVE-2017-11877 была привязана к Excel и позволяла обойти дефолтную блокировку контента в режиме редактирования. Подобная брешь могла бы сильно обнадежить злоумышленников, использующих популярную схему загрузки вредоносного ПО через макросы.

Автор блог-записи ZDI особо отметил еще один бюллетень Microsoft — ADV170020, посвященный мерам повышения безопасности Office. «Бюллетень ADV170020 может являться ответом на злоупотребления функцией Dynamic Data Exchange, который и поможет ограничить такие абьюзы», — высказали предположение исследователи.

Ноябрьский «вторник патчей», как заметил Грег Уайзман (Greg Wiseman) из Rapid7,  привнес также новую струю в регулярный поток обновлений: Microsoft начала латать используемые ею проекты с открытым исходным кодом. «Из уязвимостей, связанных с Edge, шестнадцать пропатчены в ChakraCore — open-source составляющей JavaScript-движка Edge, — указывает Уайзман. — В .NET Core устранена уязвимость CVE-2017-11770, грозящая отказом в обслуживании (DoS). В ASP.NET Core — DoS (CVE-2017-11883), повышение привилегий (CVE-2017-11879) и раскрытие информации (CVE-2017-8700)».

Категории: Главное, Уязвимости