Компания Microsoft выпустила обновления безопасности за июнь. В данной статье я расскажу о самых главных моментах этого выпуска.
Общий взгляд
Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:
Обратите внимание
На следующие уязвимости и обновления безопасности следует обратить особое внимание:
Windows
CVE-2020-1248 – Windows Graphics Device Interface (GDI) Remote Code Execution (Critical RCE)
Windows 10, Server, version 1903, Server, version 1909, Server, version 2004
CVE-2020-1281 – Windows OLE Remote Code Execution Vulnerability (Critical RCE)
Затронутое ПО: поддерживаемые версии Windows и Windows Server.
CVE-2020-1300 – Windows Remote Code Execution Vulnerability (Critical RCE)
Затронутое ПО: поддерживаемые версии Windows и Windows Server.
CVE-2020-1301 – Windows SMB Remote Code Execution Vulnerability
Затронутое ПО: поддерживаемые версии Windows и Windows Server.
CVE-2020-1286 – Windows Shell Remote Code Execution Vulnerability (Critical RCE)
Затронутое ПО: Windows 10, Server 2019, Server, version 1803, Server, version 1909, Server, version 1903, Server, version 2004
CVE-2020-1292 – OpenSSH for Windows Elevation of Privilege Vulnerability
Затронутое ПО: Windows 10, Server 2019, Server, version 1803, Server, version 1909, Server, version 1903, Server, version 2004
CVE-2020-1239 – Media Foundation Memory Corruption Vulnerability (Critical RCE)
Затронутое ПО: поддерживаемые версии Windows и Windows Server.
Microsoft Browsers
CVE-2020-1260 – VBScript Engine Memory Corruption Vulnerability (Critical RCE)
Затронутое ПО: Internet Explorer 9, Internet Explorer 11.
CVE-2020-1073 – Chakra Scripting Engine Memory Corruption Vulnerability (Critical RCE)
Затронутое ПО: Microsoft Edge (HTML-based), ChakraCore.
Microsoft Office
CVE-2020-1321 – Microsoft Office Remote Code Execution Vulnerability (Important RCE)
Затронутое ПО: Microsoft 365 Apps Enterprise, Office 2019, Office 2019 for Mac, Office 2016 for Mac.
CVE-2020-1225 – Microsoft Excel Remote Code Execution Vulnerability (Important RCE)
Затронутое ПО: Microsoft 365 Apps Enterprise, Office 2019, Office 2019 for Mac, Excel 2016, Office 2016 for Mac, Excel 2010, Excel 2013
Microsoft SharePoint
CVE-2020-1181 – Microsoft SharePoint Remote Code Execution Vulnerability (Critical RCE)
Затронутое ПО: SharePoint Enterprise Server 2016, SharePoint Server 2019, SharePoint Foundation 2010, SharePoint Foundation 2013.
Microsoft System Center
CVE-2020-1331 – System Center Operations Manager Spoofing Vulnerability
Затронутое ПО: System Center 2016 Operations Manager.
Visual Studio
Azure DevOps
Затронутое ПО: Azure DevOps Server 2019 Update 1 & 1.1, 2019.0.1
Other software
CVE-2020-1163 – Microsoft Windows Defender Elevation of Privilege Vulnerability
CVE-2020-1170 – Microsoft Windows Defender Elevation of Privilege Vulnerability
Затронутое ПО: Microsoft Forefront Endpoint Protection 2010, System Center 2012/2012 R2 Endpoint Protection, Windows Defender, Microsoft Security Essentials.
CVE-2020-1223 – Word for Android Remote Code Execution
ADV200010 – June 2020 Adobe Flash Security Update (Critical)
Рекомендации по безопасности
Были дополнены и обновлены следующие рекомендательные документы:
ADV990001 – Latest Servicing Stack Updates (SSU)
Обновления SSU были выпущены для поддерживаемых версий Windows и Windows Server.
Окончание поддержки
Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2!
Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.
Подробности об окончании поддержки и вариантах миграции на нашем портале.
Возможные проблемы
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке, приведен в заметках к выпуску.
Дополнительная информация
Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.
Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):
Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.
Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.
А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.
Артём Синицын CISSP, MCSE, MCITP
руководитель программ информационной безопасности Microsoft
Twitter: https://aka.ms/artsin
YouTube: https://aka.ms/artsinvideo
*Vulnerability Review Report 2018 by Flexera