В рамках ноябрьского «вторника патчей» в скриптовом движке Microsoft закрыта критическая уязвимость, уже используемая в атаках. Проблема, зарегистрированная как CVE-2019-1429, позволяет через порчу памяти выполнить вредоносный код и затрагивает все поддерживаемые версии Internet Explorer.

«В случае успешной эксплуатации уязвимости автор атаки получит права текущего пользователя, — сказано в бюллетене Microsoft. — Если текущий пользователь вошел в систему из-под аккаунта администратора, атакующий сможет перехватить контроль над уязвимой системой».

Чтобы воспользоваться багом, злоумышленник должен заманить пользователя на вредоносную веб-страницу или заставить его открыть специально созданный файл Microsoft Office. В такой документ можно встроить элемент управления ActiveX, помеченный как безопасный для запуска, и загрузить код эксплойта с его помощью.

Суммарно разработчики продуктов Microsoft устранили 74 уязвимости; более десятка из них признаны критическими. Из последних примечательна также CVE-2019-1457 в Excel для macOS, о существовании которой стало известно в конце октября.

«Возможность обхода средств защиты в Microsoft Office для Mac возникла из-за неправильной проверки параметров макросов в документах Excel, — пояснил Сатнам Наранг (Satnam Narang) из Tenable в ответном письме журналистам Threatpost. — Для проведения атаки необходимо создать специальный документ Excel, использующий файловый формат SYLK (SYmbolic LinK), и убедить пользователя открыть этот файл с помощью уязвимой версии Microsoft Office для Mac».

В начале текущего месяца Координационный центр CERT при Университете Карнеги — Меллона предупредил, что вредоносные SYLK-файлы обходят защиту конечных устройств даже при активной опции «отключить все макросы без уведомления». Это открывает возможность удаленно и без авторизации выполнить любой код в уязвимой системе. «В файл .SYLK можно внедрить XLM-макрос, — пишут эксперты. — Макросы в файлах SYLK составляют большую проблему, так как Microsoft Office не откроется в режиме защищенного просмотра для обеспечения безопасности пользователей».

Кроме бюллетеней, посвященных уязвимостям в своих разработках, Microsoft выпустила рекомендации по безопасности, связанные с использованием сторонних продуктов. Так, в одном из таких документов сообщается о проблеме с конфиденциальностью ключей ECDSA (алгоритма цифровых подписей на основе эллиптических кривых), актуальной для некоторых чипсетов TPM (Trusted Platform Module) производства STMicroelectronics.

«Уязвимый алгоритм в настоящее время не использует ни одна Windows-система, но им могут пользоваться другие установленные программы или сервисы, — пишет Microsoft. — Если уязвимость затрагивает систему, вам придется обновить прошивку TPM».

Комментируя новый набор патчей Microsoft в блоге Ivanti, эксперт Крис Гётль (Chris Goettl) напомнил пользователям о скором прекращении поддержки нескольких версий Windows. Те, кто не успел совершить апгрейд, могут за отдельную плату присоединиться к программе Extended Security Updates (ESU), чтобы продолжить получать обновления после 14 января.

Категории: Главное, Уязвимости