Microsoft

Первый «вторник обновлений» 2020 года принес исправления 49 уязвимостей в продуктах Microsoft, восемь из которых получили статус «критических». Наиболее заметной ошибкой этого месяца определенно стал баг в Windows CryptoAPI (Crypt32.dll), обнаруженный исследователями АНБ, о чем мы уже писали отдельно.

Но кроме вышеупомянутой проблемы CVE-2020-0601 были исправлены и две другие заметные уязвимости, которые влияют на Windows Server 2016 и Windows Server 2012: CVE-2020-0609 и CVE-2020-0610. Согласно сообщению Microsoft, компонент Windows Remote Desktop Gateway (RD Gateway) уязвим перед удаленным выполнением кода, что позволяет злоумышленникам захватывать уязвимые Windows-серверы, посредством RDP и специально созданных запросов. Еще одна похожая уязвимость (CVE-2020-0611) уже находится на стороне клиента, а не шлюза. Взаимодействие с пользователем для эксплуатации этих проблем не требуется.

В Office тоже устранили несколько уязвимостей, связанных с удаленным выполнением кода, которые могут быть использованы, когда пользователь открывает специально созданный документ. К ним относятся три проблемы в Excel (CVE-2020-0650, CVE-2020-0651 и CVE-2020-0653), а также один баг в Office в целом (CVE-2020-0652).

Наконец, этот «вторник обновлений» был отмечен выпуском последних официальных исправлений безопасности для Windows 7 и Server 2008, чья поддержка была прекращена 14 января 20202 года.

Intel, Adobe и другие

На этой неделе первые патчи в новом году выпустила не только компания Microsoft.

Так, в этом месяце Intel выпустила с ряд рекомендаций по безопасности, в том числе одну, которую компания считает серьезной. Недостаток CVE-2019-14613 позволяет повысить привилегии с помощью VTune Amplifier for Windows.

Также Intel устранила утечку информации (CVE-2019-14615) в Processor Graphics, которая представляла опасность для Windows, Linux и, возможно, других операционных систем; ошибку отказа в обслуживании (CVE-2019-14596) в составе Chipset Device Software INF Utility; и ошибку повышения привилегий (CVE-2019-14601) в RAID Web Console 3 для Windows.

Компания Adobe начала 2020 год с небольшой порции патчей, исправив суммарно девять багов в продуктах Illustrator и Experience Manager. Так, обновление для Illustrator CC 2019 для Windows исправляет пять критических ошибок, связанных с нарушением целостности информации в памяти, что может привести к выполнению произвольного кода в контексте целевого пользователя. В свою очередь, четыре уязвимости в Adobe Experience Manager были оценены как важные и умеренные. Эти баги могли привести к раскрытию конфиденциальной информации (посредством XSS-атак или expression language инжектов).

Важный патч подготовили и разработчики VMware. Исправление для VMware Tools устраняет CVE-2020-3941: проблему состояния гонки, которая потенциально может позволить атакующему повысить свои привилегии на виртуальной машине Windows.

SAP в этом месяце выпустила шесть исправлений и одно обновление до более раннего бюллетеня безопасности. Из этих семи бюллетеней наиболее серьезные касаются бага CVE-2020-6305 — XSS-уязвимости в Rest Adaptor для SAP Process Integration. Другие исправления включают в себя патч для проблемы отказа в обслуживании в NetWeaver Internet Communication Manager (CVE-2020-6304) и отсутствие проверки авторизации в Realtech RTCISM 100.