Выпущены сентябрьские обновления безопасности Microsoft

В сентябре компания Microsoft выпустила обновления безопасности для закрытия 129 уязвимостей в своих продуктах, 23 из которых классифицированы как Критические.

В данной статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Сводная информация по количеству и типу уязвимостей закрытых в сентябре 20

Обратите внимание

На следующие уязвимости и обновления безопасности следует обратить особое внимание:

Windows

CVE-2020–1319 — Microsoft Windows Codecs Library

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: поддерживаемые версии Windows 10.

CVSS 7.3

Exploitability Assessment: Exploitation Less Likely

Примечание: Уязвимая библиотека кодеков не поставляется по умолчанию с дистрибутивом ОС, а должна быть установлена вручную или иным способом из магазина Microsoft. Установленные экземпляры кодеков получат обновления автоматически через магазин Microsoft (если только данный функционал не был намеренно отключен пользователем или администратором). За подробной инструкцией с описанием фаз и ожидаемого поведения ПО обратитесь к статье базы знаний.

CVE-2020–0718 — Microsoft Active Directory integrated DNS

Important — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: поддерживаемые версии Windows Server.

CVSS 8.8

Exploitability Assessment: Exploitation Less Likely

CVE-2020–0922 — Microsoft COM for Windows

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: поддерживаемые версии Windows 10.

CVSS 8.8

Exploitability Assessment: Exploitation Less Likely

CVE-2020–0908 — Windows Text Service Module

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: поддерживаемые версии Windows 10.

CVSS 7.5

Exploitability Assessment: Exploitation Less Likely

CVE-2020–1285 — Windows GDI+

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: поддерживаемые версии Windows.

CVSS 8.4

Exploitability Assessment: Exploitation Less Likely

CVE-2020–1508 — Windows Media Audio Decoder

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: поддерживаемые версии Windows.

CVSS 7.6

Exploitability Assessment: Exploitation Less Likely

CVE-2020–0836 — Windows DNS

Important — Denial of Service Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: поддерживаемые версии Windows Server.

CVSS 7.5

Exploitability Assessment: Exploitation Less Likely

Microsoft Browsers

CVE-2020–0878 –

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Microsoft Edge (HTML-based), Internet Explorer 11, ChakraCore

CVSS 7.5

Exploitability Assessment: Exploitation Less Likely

CVE-2020–16884 — Internet Explorer Browser Helper Object (BHO)

Important — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Internet Explorer 11, Microsoft Edge (Chromium-based)

CVSS 4.2

Exploitability Assessment: Exploitation Less Likely

Примечание: данной уязвимости подвержены системы, в которых одновременно установлены IE 11 и Microsoft Edge (Chromium-based), и только если пользователь работает в IE11. Для закрытия уязвимости необходимо обновить браузер Microsoft Edge (Chromium-based) до версии v85.0.564.44 или более поздней.

Microsoft Office

CVE-2020–1218 — Microsoft Word

Important — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Word 2010/2013/2016, Office 2010, Office 2019, M365 Apps for Enterprise, SharePoint Server 2010, SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Server 2019, Office Online Server, Office Web Apps 2010, Office 2016/2019 for Mac

Preview Pane is not an attack vector

CVSS 7.8

Exploitability Assessment: Exploitation Less Likely

CVE-2020–1335 — Microsoft Excel

Important — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Microsoft 365 Apps for Enterprise, Excel 2010, Excel 2013, Excel 2016, Office 2010, Office 2013, Office 2016, Office 2019, Office Online Server, Office Web Apps 2013, SharePoint Server 2019

Preview Pane is not an attack vector

CVSS 7.8

Exploitability Assessment: Exploitation Less Likely

Microsoft SharePoint Server

CVE-2020–1210 — Microsoft SharePoint

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Microsoft Business Productivity Servers 2010, SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Server 2010, SharePoint Server 2019

CVSS 9.9!

Exploitability Assessment: Exploitation Less Likely

CVE-2020–1595 — Microsoft SharePoint

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Microsoft SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Foundation 2013, SharePoint Server 2019

CVSS 9.9!

Exploitability Assessment: Exploitation Less Likely

Microsoft Exchange Server

CVE-2020–16875 — Microsoft Exchange

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Microsoft Exchange Server 2016, Exchange Server 2019

CVSS 8.4

Exploitability Assessment: Exploitation Less Likely

SQL Server

CVE-2020–1044 — SQL Server Reporting Services

Moderate — Security Feature Bypass

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: SQL Server 2017 Reporting Services, SQL Server 2019 Reporting Services

CVSS 4.3

Exploitability Assessment: Exploitation Less Likely

Dynamics 365

CVE-2020–16857 — Dynamics 365 (on-premises)

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Dynamics 365 (on-premises) version 9.0

CVSS 7.1

Exploitability Assessment: Exploitation Less Likely

CVE-2020–16862 — Dynamics 365 (on-premises)

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

Затронутое ПО: Dynamics 365 (on-premises) version 9.0

CVSS 7.1

Exploitability Assessment: Exploitation Less Likely

Visual Studio, .NET Framework, .NET Core

CVE-2020–16874 — Visual Studio

Critical — Remote Code Execution Vulnerability

Publicly Disclosed? No

Known Exploits? No

CVSS 7.8

Exploitability Assessment: Exploitation Less Likely

CVE-2020–1045 — ASP.NET Core

Important — Security Feature Bypass

Publicly Disclosed? No

Known Exploits? No

CVSS 7.5

Exploitability Assessment: Exploitation Less Likely

Рекомендации по безопасности

ADV990001 — Latest Servicing Stack Updates (SSU)

Обновления SSU были выпущены для всех поддерживаемых версиях Windows и Windows Server.

О важных изменениях в жизненном цикле обновлений SSU и объединении в единый накопительный пакет обновлений Вы можете прочитать в нашем блоге.

Окончание поддержки

В октябре закончится поддержка Microsoft Office 2010 и Microsoft Exchange 2010!

Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2

Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье. Подробности об окончании поддержки и вариантах миграции на нашем портале.

Возможные проблемы

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.

Дополнительная информация

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):

Запись вебинара с разбором выпуска

Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

Артём Синицын CISSP, CCSP, MCSE, Certified Azure Security Engineer

руководитель программ информационной безопасности Microsoft

Twitter: https://aka.ms/artsin

YouTube: https://aka.ms/artsinvideo

*Vulnerability Review Report 2018 by Flexera

Tags: Security, Security Updates

©  Microsoft