Выпущены обновления безопасности Microsoft за июль 2018

В июле компания Microsoft выпустила обновления безопасности для продуктов Microsoft Windows, Microsoft Edge, Internet Explorer, Office, Skype for Business/Lync, Chakra Core, ASP.NET/ASP.NET Core, .NET/.NET Core, Visual Studio, Microsoft Research JavaScript Cryptography Library, Microsoft Wireless Display Adapter, PowerShell Editor Services, Web Customizations for AD FS и Adobe Flash. Сводная информация приведена на графике ниже.

Количество и тип уязвимостей в различных продуктах, которые закрывает июльское обновление

Более подробная информация по уязвимостям с указанием количества, типа, способа обнародования, наличия рабочего эксплоита и рейтинга CVSS представлена в таблице ниже.

Подробная информация по уязвимостям, закрытым с выходом июльского обновления безопасности с указанием количества, типа, способа обнародования, наличия рабочего эксплойта и рейтинга CVSS

Информация об уровне критичности, потенциальном ущербе и соответствующих обновлениях, закрывающих данные уязвимости, представлена в таблице ниже.



Product Family Maximum Severity Maximum Impact Associated KB Articles and/or Support Webpages
Windows 10 and Windows Server 2016 (Not including Microsoft Edge) Important Elevation of Privilege Windows 10 v1803: 4338819; Windows 10 v1709: 4338825; Windows 10 v1703: 4338826; Windows 10 v1607: 4338814; Windows 10: 4338829; and Windows Server 2016: 4338814
Microsoft Edge Critical Remote Code Execution Microsoft Edge: 4338819, 4338825, 4338826, 4338829, 4338814
Windows 8.1 and Windows Server 2012 R2 Important Elevation of Privilege Windows 8.1 and Windows Server 2012 R2 Monthly Rollup: 4338815

Windows 8.1 and Windows Server 2012 R2 Security Only: 4338824

Windows Server 2012 Important Elevation of Privilege Windows Server 2012 Monthly Rollup: 4338830

Windows Server 2012 Security Only: 4338820

Windows RT 8.1 Important Elevation of Privilege Windows RT 8.1: 4284815

Note: Updates for Windows RT 8.1 are only available via Windows Update

Windows 7 and Windows Server 2008 R2 Important Elevation of Privilege Windows 7 and Windows Server 2008 R2 Monthly Rollup: 4338818

Windows 7 and Windows Server 2008 R2 Security Only: 4338823

Windows Server 2008 Important Elevation of Privilege Updates for Windows Server 2008 are not offered in a cumulative update or rollup. The following articles reference a version of Windows Server 2008: 4293756, 4339854, 4291391, 4339291, 4295656, 4339503, 4340583
Internet Explorer Critical Remote Code Execution Internet Explorer 9 IE Cumulative: 4339093;

Internet Explorer 10 Monthly Rollup: 4338830;

Internet Explorer 10 IE Cumulative: 4339093;

Internet Explorer 11 Monthly Rollup: 4338815 and 4338818;

Internet Explorer 11 IE Cumulative: 4339093;

Internet Explorer 11 Security Update: 4338819, 4338825, 4338826, 4338829, and 4338814

Microsoft Office-related software Important Remote Code Execution The number of KB articles associated with Microsoft Office for each monthly security update release varies depending on the number of CVEs and the number of affected components. This month there are more than 20 KB Articles related to Office updates – too many to list here for the purposes of a summary. Review the content in the Security Update Guide for article details.
Microsoft SharePoint-related software Important Remote Code Execution Microsoft SharePoint-related software: 4022235, 4022228, and 4022243
Skype for Business, Microsoft Lync Important Remote Code Execution Skype for Business: 4022221

Microsoft Lync: 4022225

.NET, .NET Core, ASP.NET, ASP.NET Core Important Remote Code Execution The number of support articles associated with a .NET Framework security update release will vary depending on the number of CVEs and the number of affected components. This month there are more than 20 support articles related to .NET Framework updates – too many to list here for the purpose of a summary. .NET Core is a general-purpose development platform maintained by Microsoft and the .NET community on GitHub.
Microsoft Visual Studio Important Remote Code Execution Microsoft Visual Studio: 4336919, 4336946, 4336986, and 4336999
Microsoft Research JavaScript Cryptography Library Important Security Feature Bypass The MSR JavaScript Cryptography Library has been developed for use with cloud services in an HTML5 compliant and forward-looking manner. The library is under active development. See the Download Center for updates.
Microsoft Wireless Display Adapter Important Remote Code Execution See Microsoft Wireless Display Adapter for software and driver information.
PowerShell Editor Services, PowerShell Extension for Visual Studio Code Critical Remote Code Execution Built on the .NET Framework, PowerShell is an open-source, task-based command-line shell and scripting language. See GitHub for updates on The PowerShell Extension for Visual Studio Code and PowerShell Editor Services.
Web Customizations for AD FS Important Spoofing AD FS provides a number of options for administrators to customize and tailor the end-user experience to meet their corporate needs. See AD FS user sign-in customization. See GitHub for the AD FS Web Customization repository.
ChakraCore Critical Remote Code Execution ChakraCore is the core part of Chakra, the high-performance JavaScript engine that powers Microsoft Edge and Windows applications written in HTML/CSS/JS. More information is available at https://github.com/Microsoft/ChakraCore/wiki.
Adobe Flash Player Critical Remote Code Execution Adobe Flash Player KB Article: 4338832

Adobe Flash Player Advisory: ADV180017



Security Advisory

Также были выпущены следующие рекомендательные документы по безопасности:

  • Security Advisory 180017: July 2018 Adobe Flash Security Update

Помимо этого, хочу обратить ваше внимание на документ, выпущенный вне планового цикла (out of band, OOB):

  • Security Advisory 180010 | June 2018 Oracle Outside In Library Security Update

Обновлены следующие рекомендательные документы:

  • Security Advisory 170017: Microsoft Office Defense in Depth Update
  • Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities
  • Security Advisory 180012:-Microsoft Guidance for Speculative Store Bypass
  • Security Advisory 180016: Microsoft Guidance for Lazy FP State Restore

Хочу отдельно обратить ваше внимание на руководство по атакам спекулятивного выполнения (speculative execution attacks) для разработчиков:

C++ Developer Guidance for Speculative Execution Side Channels

Справочник обновлений безопасности Microsoft

Самую актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Вы также можете автоматизировать получение и настроить представление об уязвимостях и обновлениях безопасности под собственные нужды, используя наш RESTful API. Ответы на часто задаваемые вопросы по работе с порталом находятся здесь. Если вы не нашли ответ на свой вопрос, обратитесь к нашему форуму.

Сводная таблица с обновлениями безопасности

Для вашего удобства предлагаю загрузить сводную таблицу в формате Microsoft Excel, которая содержит всю информацию о выпуске бюллетеней безопасности Microsoft с возможностью фильтрации и поиска по всевозможным параметрам:

иконка таблицы

PlanTestUpdateRepeat

Не откладывайте установку обновлений безопасности в вашей инфраструктуре! Именно от своевременной установки обновлений зависит безопасность ваших информационных активов и вашего бизнеса.

Артём Синицын

руководитель программ информационной безопасности

Microsoft

@ArtyomSinitsyn

 

Tags: , ,

Связанные посты