Выпущены майские обновления безопасности Microsoft

Компания Microsoft выпустила обновления безопасности за май. В данной статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике

Обратите внимание

На следующие уязвимости и обновления безопасности следует обратить особое внимание:

Windows

CVE-2020-1126 – Media Foundation Memory Corruption Vulnerability (Critical RCE)

Затронутое ПО: поддерживаемые версии Windows 10, Windows Server 2016, Windows Server 2019

CVE-2020-1112 – Windows Background Intelligent Transfer Service Elevation of Privilege Vulnerability

Затронутое ПО: все поддерживаемые версии ОС Windows.

CVE-2020-1153 – Microsoft Graphics Remote Code Execution Vulnerability (Critical RCE)

Затронутое ПО: все поддерживаемые версии ОС Windows.

CVE-2020-1174 – Jet Database Engine Remote Code Execution Vulnerability (RCE)

Затронутое ПО: все поддерживаемые версии ОС Windows.

CVE-2020-1118 – Microsoft Windows Transport Layer Security Denial of Service Vulnerability (TLS DoS)

Затронутое ПО: Windows 10 v1909, Windows 10 v1903, Windows 10 v1809, Windows 10 v1803, Windows 10 v1709, Windows Server 2019, Windows Server 2019 (Server Core), Windows Server 1909 (Server Core), Windows Server 1903 (Server Core), and Windows Server 1803 (Server Core).

Microsoft Browsers

CVE-2020-1062 – Scripting Engine Memory Corruption Vulnerability (Critical RCE)

Затронутое ПО: Internet Explorer в поддерживаемых ОС Windows.

CVE-2020-1037 – Chakra Scripting Engine Memory Corruption Vulnerability (Critical RCE)

Затронутое ПО: Microsoft Edge (HTML-based), ChakraCore.

Microsoft Office

CVE-2020-0901 – Microsoft Excel Remote Code Execution Vulnerability (Important RCE)

Затронутое ПО: Microsoft 365 Apps for Enterprise, Excel 2016, Excel 2013, Excel 2010, Office 2019, Office 2019 for Mac, and Office 2016 for Mac. 

Microsoft SharePoint

CVE-2020-1069 – Microsoft SharePoint Remote Code Execution Vulnerability (Critical RCE)

Затронутое ПО: Microsoft SharePoint Enterprise Server 2016, SharePoint Foundation 2013, and SharePoint Server 2019.

Microsoft Dynamics

CVE-2020-1063

Затронутое ПО: Dynamics 365 (On-premises) 8.2, 9.0.

Visual Studio

CVE-2020-1108

CVE-2020-1161

CVE-2020-1171

CVE-2020-1192 (Critical RCE)

Затронутое ПО: Visual Studio Code

.NET Framework

CVE-2020-1066

CVE-2020-1108

CVE-2020-1161

Other software

CVE-2020-1173 – Microsoft Power BI Report Server Spoofing Vulnerability

Рекомендации по безопасности

Были дополнены и обновлены следующие рекомендательные документы:

ADV990001 – Latest Servicing Stack Updates (SSU)

Обновления SSU были выпущены для: Windows 7, Windows Server 2008, Windows Server 2008 R2.

Окончание поддержки

Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2!

Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.

Подробности об окончании поддержки и вариантах миграции на нашем портале.

Возможные проблемы

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.

Дополнительная информация

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):

в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):

Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

 

Артём Синицын CISSP, MCSE, MCITP

руководитель программ информационной безопасности Microsoft

Twitter: https://aka.ms/artsin

YouTube: https://aka.ms/artsinvideo


*Vulnerability Review Report 2018 by Flexera

Tags: , , ,

Связанные посты