Microsoft выпустила декабрьские обновления безопасности

В декабре компания Microsoft выпустила последние в этом году обновления безопасности, закрывающие 58 уязвимостей, 9 из которых классифицированы как критические.

В данной статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Представляем новую версию нашего портала

С этого месяца мы перешли на использование новой версии портала Security Updates Guide (SUG), доступной по адресу aka.ms/sug. Подробности можно прочитать в нашем блоге.

По многочисленным просьбам была добавлена темная тема оформления 😊

Также была переработана структура описания уязвимостей и теперь она полностью выверена с атрибутами системы оценки уязвимостей CVSS. Подробности можно прочитать в нашем блоге.

Нам очень интересно узнать ваше мнение о новом портале Security Updates Guide, поэтому мы призываем вас поделиться обратной связью о работе портала через эту форму.

Обратите внимание

На следующие уязвимости и обновления безопасности следует обратить особое внимание: 

Windows

CVE-2020-17095	Hyper-V Remote Code Execution Vulnerability
Impact	Remote Code Execution
Severity	Critical
Publicly Disclosed?	No
Known Exploits?	No
Exploitability	Exploitation less likely
CVSS Base Score	8.5
Attack Vector	Network
Attack Complexity	High
Privileges Required	Low
User Interaction	None
Scope	Changed
Confidentiality	High
Integrity	High
Availability	High
Affected Software	All supported versions of Windows 10 for x64-based systems, Windows Server 2016, Windows Server 2016 (Server Core), Windows Server 2019, Windows Server 2019 (Server Core), Windows Server v1903 (Server Core), Windows Server v1909 (Server Core), Windows Server v2004 (Server Core), and Windows Server v20H2 (Server Core)
More Information	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17095

 

CVE-2020-17096	Windows NTFS Remote Code Execution Vulnerability
Impact	Remote Code Execution
Severity	Important
Publicly Disclosed?	No
Known Exploits?	No
Exploitability	Exploitation more likely
CVSS Base Score	7.5
Attack Vector	Network
Attack Complexity	High
Privileges Required	Low
User Interaction	None
Scope	Unchanged
Confidentiality	High
Integrity	High
Availability	High
Affected Software	All supported versions of Windows 10, Windows 8.1, Windows Server 2012, Windows Server 2012 (Server Core), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core), Windows Server 2016, Windows Server 2016 (Server Core), Windows Server 2019, Windows Server 2019 (Server Core), Windows Server v1903 (Server Core), Windows Server v1909 (Server Core), Windows Server v2004 (Server Core), and Windows Server v20H2 (Server Core)
More Information	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17096

 

CVE-2020-16996	Kerberos Security Feature Bypass Vulnerability
Impact	Security Feature Bypass
Severity	Important
Publicly Disclosed?	No
Known Exploits?	No
Exploitability	Exploitation less likely
CVSS Base Score	6.5
Attack Vector	Network
Attack Complexity	Low
Privileges Required	Low
User Interaction	None
Scope	Unchanged
Confidentiality	None
Integrity	High
Availability	None
Affected Software	Windows Server 2012, Windows Server 2012 (Server Core), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core), Windows Server 2019, Windows Server 2019 (Server Core), Windows Server 2016, Windows Server 2016 (Server Core), Windows Server v1903 (Server Core), Windows Server v1909 (Server Core), Windows Server v2004 (Server Core), and Windows Server v20H2 (Server Core)

 Microsoft Browsers

CVE-2020-17131	Chakra Scripting Engine Memory Corruption Vulnerability
Impact	Remote Code Execution
Severity	Critical
Publicly Disclosed?	No
Known Exploits?	No
Exploitability	Exploitation less likely
CVSS Base Score	4.2
Attack Vector	Network
Attack Complexity	High
Privileges Required	None
User Interaction	Required
Scope	Unchanged
Confidentiality	Low
Integrity	Low
Availability	None
Affected Software	ChakraCore, Microsoft Edge on all supported versions of Windows 10 and corresponding Windows Server versions
More Information	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17131

Microsoft Office

CVE-2020-17128	Microsoft Excel Remote Code Execution Vulnerability
Impact	Remote Code Execution
Severity	Important
Publicly Disclosed?	No
Known Exploits?	No
Exploitability	Exploitation less likely
CVSS Base Score	7.8
Attack Vector	Local
Attack Complexity	Low
Privileges Required	None
User Interaction	Required
Scope	Unchanged
Confidentiality	High
Integrity	High
Availability	High
Affected Software	Microsoft 365 Apps for Enterprise, Excel 2010, Excel 2013, Excel 2016, Office 2010, Office 2016, Office 2019, Office 2019 for Mac, Office Online Server, and Office Web Apps 2013
More Information	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17128

 Microsoft SharePoint Server

CVE-2020-17121	Microsoft SharePoint Remote Code Execution Vulnerability
Impact	Remote Code Execution
Severity	Critical
Publicly Disclosed?	No
Known Exploits?	No
Exploitability	Exploitation more likely
CVSS Base Score	8.8
Attack Vector	Network
Attack Complexity	Low
Privileges Required	Low
User Interaction	None
Scope	Unchanged
Confidentiality	High
Integrity	High
Availability	High
Affected Software	Microsoft SharePoint Enterprise Server 2016, SharePoint Foundation 2010, SharePoint Foundation 2013, and SharePoint Server 2019
More Information	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17121

Microsoft Exchange Server

CVE-2020-17142	Microsoft Exchange Remote Code Execution Vulnerability
Impact	Remote Code Execution
Severity	Critical
Publicly Disclosed?	No
Known Exploits?	No
Exploitability	Exploitation less likely
CVSS Base Score	8.4
Attack Vector	Network
Attack Complexity	Low
Privileges Required	High
User Interaction	Required
Scope	Changed
Confidentiality	High
Integrity	High
Availability	High
Affected Software	Exchange Server 2013, Exchange Server 2016, and Exchange Server 2019
More Information	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17142

Dynamics 365 On-premises

CVE-2020-17158	Microsoft Dynamics 365 for Finance and Operations (on-premises) Remote Code Execution Vulnerability
Impact	Remote Code Execution
Severity	Critical
Publicly Disclosed?	No
Known Exploits?	No
Exploitability	Exploitation more likely
CVSS Base Score	8.8
Attack Vector	Network
Attack Complexity	Low
Privileges Required	Low
User Interaction	None
Scope	Unchanged
Confidentiality	High
Integrity	High
Availability	High
Affected Software	Dynamics 365 for Finance and Operations
More Information	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17158

 Рекомендации по безопасности

ADV200013 – Microsoft Guidance for Addressing Spoofing Vulnerability in DNS Resolver

Microsoft is aware of a vulnerability involving DNS cache poisoning caused by IP fragmentation that affects Windows DNS Resolver. An attacker who successfully exploited this vulnerability could spoof the DNS packet which can be cached by the DNS Forwarder.

Suggested Actions: Review workarounds (max UDP buffer size) in the advisory.

ADV990001 – Latest Servicing Stack Updates (SSU)

Обновления SSU были выпущены для следующих версий Windows:

• Windows 10 1809/Server 2019
• Windows 10 2004/Windows Server, version 2004
• Windows 10 20H2/Windows Server, version 20H2

О важных изменениях в жизненном цикле обновлений SSU и объединении в единый накопительный пакет обновлений Вы можете прочитать в нашем блоге.

О том, как установить сразу и SSU, и обновления безопасности ОС в одном накопительном пакете, автоматически, соблюдая правильную последовательность, читайте в нашем новом блоге.

Окончание поддержки

В ноябре заканчивается поддержка следующих продуктов:

• Windows 10 1809 (Home, Pro, Pro EDU, Pro for Workstation, IoT Core)
• Windows 10 1903 (Home, Pro, Pro EDU, Pro for Workstation, IoT Core)
• Windows Server version 1809
• Windows Server version 1903

Все подробности – на нашем портале aka.ms/lifecycle.

Внимание: В сентябре закончилась поддержка Microsoft Office 2010 и Microsoft Exchange 2010. Все, что нужно об этом знать – в нашем блоге.

Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2. Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье. Подробности об окончании поддержки и вариантах миграции на нашем портале.

Возможные проблемы

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.

Дополнительная информация

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Запись вебинара с разбором этого выпуска

Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

---

Артём Синицын CISSP, CCSP, MCSE, Certified Azure Security Engineer

руководитель программ информационной безопасности Microsoft

в странах Центральной и Восточной Европы

Twitter: https://aka.ms/artsin

YouTube: https://aka.ms/artsinvideo

 

*Vulnerability Review Report by Flexera

Tags: Security, Security Updates, безопасность