Компания Microsoft выпустила обновления безопасности за декабрь, закрыв 35 уязвимостей. В данной статье я расскажу о самых главных моментах этого выпуска.
Общий взгляд
Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:
Обратите внимание
На следующие уязвимости и обновления безопасности следует обратить особое внимание:
Windows
CVE-2019-1458 – Win32k Elevation of Privilege Vulnerability (Exploitation detected!)
CVE-2019-1471 – Windows Hyper-V Remote Code Execution Vulnerability (Critical)
CVE-2019-1468 – Win32k Graphics Remote Code Execution Vulnerability (CVSS Score 8.4)
Microsoft Browsers
CVE-2019-1485 – VBScript Remote Code Execution Vulnerability
Affected Software: Internet Explorer 9, 10, 11 on supported versions of Windows.
Microsoft Office
CVE-2019-1462 – Microsoft PowerPoint Remote Code Execution Vulnerability
Microsoft SQL
CVE-2019-1332 – Microsoft SQL Server Reporting Services XSS Vulnerability
Microsoft Authentication Library (MSAL) for Android
CVE-2019-1487 – Microsoft Authentication Library for Android Information Disclosure Vulnerability
Microsoft Visual Studio
CVE-2019-1349 – Git for Visual Studio Remote Code Execution Vulnerability
CVE-2019-1350 – Git for Visual Studio Remote Code Execution Vulnerability
CVE-2019-1352 – Git for Visual Studio Remote Code Execution Vulnerability
CVE-2019-1387 – Git for Visual Studio Remote Code Execution Vulnerability
Внимание:
14 января 2020 г. заканчивается поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2
Заказчики, продолжающие использовать данные ОС, получат обновления безопасности 14 января, после чего обновления безопасности будут доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.
Подробности об окончании поддержки и вариантах миграции на нашем портале.
Рекомендации по безопасности
Были дополнены и обновлены следующие рекомендательные документы:
ADV990001 – Latest Servicing Stack Updates
Servicing Stack Update has been released for Windows Server 2008, Windows 7, Server 2008 R2, Windows Server 2012.
Возможные проблемы
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.
Дополнительная информация
Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.
А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.
Не оставляйте ваши системы уязвимыми в период праздников, так как это наиболее активный сезон для киберпреступников! Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.
Артём Синицын CISSP, MCSE, MCITP,
руководитель программ информационной безопасности
Microsoft
*Vulnerability Review Report 2018 by Flexera