Компания Microsoft выпустила обновления безопасности за февраль. В данной статье я расскажу о самых главных моментах этого выпуска.
Общий взгляд
Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:
Обратите внимание
На следующие уязвимости и обновления безопасности следует обратить особое внимание:
Windows
CVE-2020-0689 – Microsoft Secure Boot Security Feature Bypass Vulnerability (Publicly disclosed)
Affected software: All supported versions of Windows
CVE-2020-0681 – Remote Desktop Client Remote Code Execution Vulnerability (Critical, CVSS Score 7.5)
Affected Software: All supported versions of Windows
CVE-2020-0683 – Windows Installer Elevation of Privilege Vulnerability (Publicly disclosed)
Affected Software: All supported versions of Windows
CVE-2020-0686 – Windows Installer Elevation of Privilege Vulnerability (Publicly disclosed)
Affected Software: All supported versions of Windows
CVE-2020-0738 – Media Foundation Memory Corruption Vulnerability (CVSS Score 8.8)
Affected Software: All supported versions of Windows
CVE-2020-0662 – Windows Remote Code Execution Vulnerability (Critical, CVSS Score 8.6)
Affected software: All supported versions of Windows
Microsoft Browsers
CVE-2020-0674 – Scripting Engine Memory Corruption Vulnerability (Publicly disclosed, Exploitation detected!)
Affected Software: Internet Explorer 9, 10, 11 on supported versions of Windows.
CVE-2020-0706 – Microsoft Browser Information Disclosure Vulnerability (Publicly disclosed)
Affected Software: Microsoft Edge (HTML), Internet Explorer 9, 10, 11 on supported versions of Windows.
ADV200002 – Chromium Security Updates for Microsoft Edge based on Chromium
Microsoft Office
CVE-2020-0759 – Microsoft Excel Remote Code Execution Vulnerability
Affected Software: Office 2019, Office 365 ProPlus, Excel 2010/2013/2016, Office 2016/2019 for Mac
Microsoft SharePoint
CVE-2020-0693 – Microsoft Office SharePoint XSS Vulnerability
Affected Software: SharePoint Server 2013/2016/2019
Microsoft Exchange
CVE-2020-0688 – Microsoft Exchange Validation Key Remote Code Execution Vulnerability
CVE-2020-0692 – Microsoft Exchange Server Elevation of Privilege Vulnerability
Affected Software: Exchange Server 2010/2013/2016/2019
Microsoft .SQL
CVE-2020-0618 – Microsoft SQL Server Reporting Services Remote Code Execution Vulnerability
Внимание:
14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2!!!
Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.
Подробности об окончании поддержки и вариантах миграции на нашем портале.
Рекомендации по безопасности
Были дополнены и обновлены следующие рекомендательные документы:
ADV200003 – February 2020 Adobe Flash Security Update
ADV990001 – Latest Servicing Stack Updates (SSU)
A new SSU has been released for: Windows 10 v1903, Windows 10 v1909.
Возможные проблемы
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке, приведен в заметках к выпуску.
Дополнительная информация
Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.
А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.
Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.
Артём Синицын CISSP, MCSE, MCITP
руководитель программ информационной безопасности
Microsoft