Выпущены сентябрьские обновления безопасности Microsoft
В сентябре компания Microsoft выпустила обновления безопасности для закрытия 129 уязвимостей в своих продуктах, 23 из которых классифицированы как Критические.
В данной статье я расскажу о самых главных моментах этого выпуска.
Общий взгляд
Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:
Обратите внимание
На следующие уязвимости и обновления безопасности следует обратить особое внимание:
Windows
CVE-2020–1319 — Microsoft Windows Codecs Library
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: поддерживаемые версии Windows 10.
CVSS 7.3
Exploitability Assessment: Exploitation Less Likely
Примечание: Уязвимая библиотека кодеков не поставляется по умолчанию с дистрибутивом ОС, а должна быть установлена вручную или иным способом из магазина Microsoft. Установленные экземпляры кодеков получат обновления автоматически через магазин Microsoft (если только данный функционал не был намеренно отключен пользователем или администратором). За подробной инструкцией с описанием фаз и ожидаемого поведения ПО обратитесь к статье базы знаний.
CVE-2020–0718 — Microsoft Active Directory integrated DNS
Important — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: поддерживаемые версии Windows Server.
CVSS 8.8
Exploitability Assessment: Exploitation Less Likely
CVE-2020–0922 — Microsoft COM for Windows
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: поддерживаемые версии Windows 10.
CVSS 8.8
Exploitability Assessment: Exploitation Less Likely
CVE-2020–0908 — Windows Text Service Module
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: поддерживаемые версии Windows 10.
CVSS 7.5
Exploitability Assessment: Exploitation Less Likely
CVE-2020–1285 — Windows GDI+
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: поддерживаемые версии Windows.
CVSS 8.4
Exploitability Assessment: Exploitation Less Likely
CVE-2020–1508 — Windows Media Audio Decoder
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: поддерживаемые версии Windows.
CVSS 7.6
Exploitability Assessment: Exploitation Less Likely
CVE-2020–0836 — Windows DNS
Important — Denial of Service Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: поддерживаемые версии Windows Server.
CVSS 7.5
Exploitability Assessment: Exploitation Less Likely
Microsoft Browsers
CVE-2020–0878 –
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Microsoft Edge (HTML-based), Internet Explorer 11, ChakraCore
CVSS 7.5
Exploitability Assessment: Exploitation Less Likely
CVE-2020–16884 — Internet Explorer Browser Helper Object (BHO)
Important — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Internet Explorer 11, Microsoft Edge (Chromium-based)
CVSS 4.2
Exploitability Assessment: Exploitation Less Likely
Примечание: данной уязвимости подвержены системы, в которых одновременно установлены IE 11 и Microsoft Edge (Chromium-based), и только если пользователь работает в IE11. Для закрытия уязвимости необходимо обновить браузер Microsoft Edge (Chromium-based) до версии v85.0.564.44 или более поздней.
Microsoft Office
CVE-2020–1218 — Microsoft Word
Important — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Word 2010/2013/2016, Office 2010, Office 2019, M365 Apps for Enterprise, SharePoint Server 2010, SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Server 2019, Office Online Server, Office Web Apps 2010, Office 2016/2019 for Mac
Preview Pane is not an attack vector
CVSS 7.8
Exploitability Assessment: Exploitation Less Likely
CVE-2020–1335 — Microsoft Excel
Important — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Microsoft 365 Apps for Enterprise, Excel 2010, Excel 2013, Excel 2016, Office 2010, Office 2013, Office 2016, Office 2019, Office Online Server, Office Web Apps 2013, SharePoint Server 2019
Preview Pane is not an attack vector
CVSS 7.8
Exploitability Assessment: Exploitation Less Likely
Microsoft SharePoint Server
CVE-2020–1210 — Microsoft SharePoint
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Microsoft Business Productivity Servers 2010, SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Server 2010, SharePoint Server 2019
CVSS 9.9!
Exploitability Assessment: Exploitation Less Likely
CVE-2020–1595 — Microsoft SharePoint
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Microsoft SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Foundation 2013, SharePoint Server 2019
CVSS 9.9!
Exploitability Assessment: Exploitation Less Likely
Microsoft Exchange Server
CVE-2020–16875 — Microsoft Exchange
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Microsoft Exchange Server 2016, Exchange Server 2019
CVSS 8.4
Exploitability Assessment: Exploitation Less Likely
SQL Server
CVE-2020–1044 — SQL Server Reporting Services
Moderate — Security Feature Bypass
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: SQL Server 2017 Reporting Services, SQL Server 2019 Reporting Services
CVSS 4.3
Exploitability Assessment: Exploitation Less Likely
Dynamics 365
CVE-2020–16857 — Dynamics 365 (on-premises)
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Dynamics 365 (on-premises) version 9.0
CVSS 7.1
Exploitability Assessment: Exploitation Less Likely
CVE-2020–16862 — Dynamics 365 (on-premises)
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
Затронутое ПО: Dynamics 365 (on-premises) version 9.0
CVSS 7.1
Exploitability Assessment: Exploitation Less Likely
Visual Studio, .NET Framework, .NET Core
CVE-2020–16874 — Visual Studio
Critical — Remote Code Execution Vulnerability
Publicly Disclosed? No
Known Exploits? No
CVSS 7.8
Exploitability Assessment: Exploitation Less Likely
CVE-2020–1045 — ASP.NET Core
Important — Security Feature Bypass
Publicly Disclosed? No
Known Exploits? No
CVSS 7.5
Exploitability Assessment: Exploitation Less Likely
Рекомендации по безопасности
ADV990001 — Latest Servicing Stack Updates (SSU)
Обновления SSU были выпущены для всех поддерживаемых версиях Windows и Windows Server.
О важных изменениях в жизненном цикле обновлений SSU и объединении в единый накопительный пакет обновлений Вы можете прочитать в нашем блоге.
Окончание поддержки
В октябре закончится поддержка Microsoft Office 2010 и Microsoft Exchange 2010!
Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2
Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье. Подробности об окончании поддержки и вариантах миграции на нашем портале.
Возможные проблемы
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.
Дополнительная информация
Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.
Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):
Запись вебинара с разбором выпуска
Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.
Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.
А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.
Артём Синицын CISSP, CCSP, MCSE, Certified Azure Security Engineer
руководитель программ информационной безопасности Microsoft
Twitter: https://aka.ms/artsin
YouTube: https://aka.ms/artsinvideo
*Vulnerability Review Report 2018 by Flexera
Tags: Security, Security Updates