Выпущены апрельские обновления безопасности Microsoft

Компания Microsoft выпустила обновления безопасности за апрель. В данной статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах

Обратите внимание

На следующие уязвимости и обновления безопасности следует обратить особое внимание:

Windows

Следующие две уязвимости были обнародованы в прошлом месяце и описаны в рекомендательной статье ADV200006. Также доступно видео с подробным разбором этих уязвимостей:

CVE-2020–0938 — OpenType Font Parsing Remote Code Execution Vulnerability (Critical RCE, Publicly Disclosed, Exploit Detected)

Применимо к следующему ПО: All supported versions of Windows

CVE-2020–1020 — Adobe Font Manager Library Remote Code Execution Vulnerability (Critical RCE, Publicly Disclosed, Exploit Detected)

Применимо к следующему ПО: All supported versions of Windows

CVE-2020–0687 — Microsoft Graphics Remote Code Execution Vulnerability (Critical RCE)

Применимо к следующему ПО: All supported versions of Windows

CVE-2020–0910 — Windows Hyper-V Remote Code Execution Vulnerability (Critical RCE)

Применимо к следующему ПО: Windows 10 v1809, Windows 10 v1903, Windows 10 v1909, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server v1903 (Server Core installation), and Windows Server v1909 (Server Core installation).

CVE-2020–0965 — Microsoft Windows Codecs Library Remote Code Execution Vulnerability (Critical RCE)

Применимо к следующему ПО: All supported versions of Windows.

Microsoft Browsers

CVE-2020–0968 — Scripting Engine Memory Corruption Vulnerability (Critical RCE)

Применимо к следующему ПО: Internet Explorer 11 on supported versions of Windows.

CVE-2020–0969 — Chakra Scripting Engine Memory Corruption Vulnerability (Critical RCE)

Применимо к следующему ПО: Microsoft Edge (HTML-based), ChakraCore.

Microsoft Office

CVE-2020–0935 — OneDrive for Windows Elevation of Privilege Vulnerability (Important EOP)

Применимо к следующему ПО: Microsoft OneDrive for Windows.

Microsoft SharePoint

CVE-2020–0931 — Microsoft SharePoint Remote Code Execution Vulnerability (Critical RCE)

Применимо к следующему ПО: Microsoft Business Productivity Servers 2010, SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Foundation 2013, and SharePoint Server 2019.

Microsoft Dynamics

CVE-2020–1018

CVE-2020–1022

Применимо к следующему ПО: Dynamics Business Central, Dynamics NAV (On-premises)

CVE-2020–1049

CVE-2020–1050

Применимо к следующему ПО: Dynamics 365 (On-premises)

Visual Studio

CVE-2020–0899

CVE-2020–0900

Windows Defender

CVE-2020–0835 — Windows Defender Antimalware Platform Hard Link Elevation of Privilege Vulnerability

CVE-2020–1002 — Microsoft Defender Elevation of Privilege Vulnerability

Применимо к следующему ПО: Windows Defender, Security Essentials, Microsoft Forefront Endpoint Protection 2010, System Center Endpoint Protection

Другое ПО:

CVE-2020–1026 — JavaScript Cryptography Library

CVE-2020–1019 — Microsoft RMS Sharing for Mac

CVE-2020–0919 — Microsoft Remote Desktop for Mac

CVE-2020–0943 — Microsoft Your Phone Companion App for Android

Рекомендации по безопасности

Были дополнены и обновлены следующие рекомендательные документы:

ADV200006 — Type 1 Font Parsing Remote Code Execution Vulnerability

ADV990001 — Latest Servicing Stack Updates (SSU)

A new SSU has been released for: Windows 10 version 1607/1809/1903/1909, Windows Server 2016, Windows Server 2019, Windows Server version 1903/1909.

Окончание поддержки

Forefront TMG 2010

Forefront UAG 2010

Внимание:

14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2!

Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.

Подробности об окончании поддержки и вариантах миграции на нашем портале.

Возможные проблемы

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.

Дополнительная информация

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):

скриншот

Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

Артём Синицын CISSP, MCSE, MCITP

руководитель программ информационной безопасности

Microsoft

@ArtyomSinitsyn

*Vulnerability Review Report 2018 by Flexera

Tags: Security, Security Updates, безопасность

©  Microsoft