Microsoft устранила 88 уязвимостей в своих продуктах

0

Microsoft устранила 88 уязвимостей в своих продуктах

В числе прочих производитель исправил уязвимости в протоколе NTLM, позволяющие провести атаку типа NTLM Relay.


Компания Microsoft выпустила плановый пакет обновлений, исправляющих в общей сложности 88 уязвимостей в различных версиях ОС Windows и других продуктах производителя, в том числе ряд багов, эксплоиты для которых были опубликованы в открытом доступе ИБ-исследовательницей под псевдонимом SandboxEscaper.

Из 88 исправленных 21 проблема получила статус «критических», 66 – «важных» и 1 уязвимость расценена как «средней степени опасности».

Критические уязвимости затрагивают JavaScript движок для браузера Microsoft Edge Chakra Scripting Engine (9 уязвимостей), Microsoft Scripting Engine (4), гипервизор Hyper-V (3), Microsoft Speech API, а также Edge и Internet Explorer.

В числе прочих производитель исправил уязвимости CVE-2019-1040 и CVE-2019-1019 в протоколе аутентификации NTLM, позволяющие обойти механизмы защиты NTLM и провести атаку типа NTLM Relay. Суть атак подобного типа заключается в том, чтобы вмешаться в процесс аутентификации по протоколу NTLM и получить доступ к стороннему ресурсу с привилегиями атакуемого пользователя. Атака может быть реализована в отношении любого протокола, поддерживающего NTLM-авторизацию (SMB, HTTP, LDAP и т.д.).

Полный перечень исправленных проблем доступен