Надеемся, что очередной выходной посреди недели вас не расслабил и вы внимательно следили за «вторником обновлений», который фактически начинается в 9-10 вечера по Москве. Если же парад Победы и поездка на дачу немного выбили вас из рабочего ритма, то добро пожаловать под кат. Вендоры выкатили несколько важных патчей, закрывающих действительно серьезные уязвимости, так что рекомендуем обратить внимание.
Само название Patch Tuesday придумали в Microsoft, поэтому с них и начнем.
В Microsoft Exchange устранены сразу 5 уязвимостей, одна из которых — CVE-2018-8154 — особенно выделяется: злоумышленнику достаточно отправить на почтовый сервер MS Exchange специальным образом созданное письмо, чтобы на сервере выполнился код с привилегиями уровня SYSTEM.
Эксплоит для этой уязвимости широкой общественности на данный момент не доступен, однако, как показывает предыдущий опыт, его разработка не займет много времени. Поэтому, в зависимости от того, как у вас выстроен процесс управления уязвимостями, либо немедленно накатывайте обновления, либо повышайте приоритет для данного патча. Информацию по остальным уязвимостям в Exchange можно найти здесь.
Еще Microsoft выпустили заплатку для уязвимости CVE-2018-8174 в Internet Explorer, позволяющей злоумышленникам проводить drive-by атаки: пользователям достаточно открыть правильно сформированную страницу в браузере, чтобы в системе выполнился произвольный код. Коллеги из 360 Total Security назвали ее «Double Kill» и заявили, что уязвимость уже активно эксплуатируют APT-группировки. Коллеги из «Лаборатории Касперского» подтверждают этот факт.
Также обращаем ваше внимание на RCE-уязвимости CVE-2018-0959 и CVE-2018-0961 в Microsoft Hyper-V. Несмотря на то, что эксплоит пока отсутствует в публичном доступе, сама атака может быть осуществлена по сети, что увеличивает критичность уязвимости, а следовательно, и приоритет установки обновления.
Кроме того, вечер перед праздником принес нам целый веер из уязвимостей, позволяющих злоумышленникам повышать привилегии. Одна из них — CVE-2018-8897 — заслуживает отдельного внимания. Выяснилось, что практически все вендоры операционных систем неправильно обрабатывали прерывания, генерируемые процессорами Intel. Разумеется никто из них не хочет повторения Meltdown и Spectre, поэтому они скоординировались и выпустили обновления одновременно: Microsoft, Apple, VMware, FreeBSD, Suse и т.п. Полный список затронутых операционных систем доступен здесь.
Кроме указанных выше уязвимостей также заслуживает внимания очередная RCE в Adobe Flash Player — CVE-2018-4944 и ряд RCE для пакета Microsoft Office.
Напоминаем, что к обновлениям безопасности, как и к любым другим, стоит относиться аккуратно, тестируя их перед выпуском в боевую среду, так как проблемы совместимости никто не отменял. Список известных проблем для MS и варианты их решений доступны здесь.
Автор: stvetro