Компания Microsoft выпустила обновления безопасности за май. В данной статье я расскажу о самых главных моментах этого выпуска.
Общий взгляд
Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:
Обратите внимание
На следующие уязвимости и обновления безопасности следует обратить особое внимание:
Windows
CVE-2020-1126 – Media Foundation Memory Corruption Vulnerability (Critical RCE)
Затронутое ПО: поддерживаемые версии Windows 10, Windows Server 2016, Windows Server 2019
CVE-2020-1112 – Windows Background Intelligent Transfer Service Elevation of Privilege Vulnerability
Затронутое ПО: все поддерживаемые версии ОС Windows.
CVE-2020-1153 – Microsoft Graphics Remote Code Execution Vulnerability (Critical RCE)
Затронутое ПО: все поддерживаемые версии ОС Windows.
CVE-2020-1174 – Jet Database Engine Remote Code Execution Vulnerability (RCE)
Затронутое ПО: все поддерживаемые версии ОС Windows.
CVE-2020-1118 – Microsoft Windows Transport Layer Security Denial of Service Vulnerability (TLS DoS)
Затронутое ПО: Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 10 v1709, Windows Server 2019, Windows Server 2019 (Server Core), Windows Server 1909 (Server Core), Windows Server 1903 (Server Core), and Windows Server 1803 (Server Core).
Microsoft Browsers
CVE-2020-1062 – Scripting Engine Memory Corruption Vulnerability (Critical RCE)
Затронутое ПО: Internet Explorer в поддерживаемых ОС Windows.
CVE-2020-1037 – Chakra Scripting Engine Memory Corruption Vulnerability (Critical RCE)
Затронутое ПО: Microsoft Edge (HTML-based), ChakraCore.
Microsoft Office
CVE-2020-0901 – Microsoft Excel Remote Code Execution Vulnerability (Important RCE)
Затронутое ПО: Microsoft 365 Apps for Enterprise, Excel 2016, Excel 2013, Excel 2010, Office 2019, Office 2019 for Mac, and Office 2016 for Mac.
Microsoft SharePoint
CVE-2020-1069 – Microsoft SharePoint Remote Code Execution Vulnerability (Critical RCE)
Затронутое ПО: Microsoft SharePoint Enterprise Server 2016, SharePoint Foundation 2013, and SharePoint Server 2019.
Microsoft Dynamics
Затронутое ПО: Dynamics 365 (On-premises) 8.2, 9.0.
Visual Studio
CVE-2020-1192 (Critical RCE)
Затронутое ПО: Visual Studio Code
.NET Framework
Other software
CVE-2020-1173 – Microsoft Power BI Report Server Spoofing Vulnerability
Рекомендации по безопасности
Были дополнены и обновлены следующие рекомендательные документы:
ADV990001 – Latest Servicing Stack Updates (SSU)
Обновления SSU были выпущены для: Windows 7, Windows Server 2008, Windows Server 2008 R2.
Окончание поддержки
Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2!
Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.
Подробности об окончании поддержки и вариантах миграции на нашем портале.
Возможные проблемы
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.
Дополнительная информация
Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.
Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):
Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.
Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.
А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.
Артём Синицын CISSP, MCSE, MCITP
руководитель программ информационной безопасности Microsoft
Twitter: https://aka.ms/artsin
YouTube: https://aka.ms/artsinvideo
*Vulnerability Review Report 2018 by Flexera