Update tuesday microsoft выпустила..

Update tuesday microsoft выпустила апрельские обновления безопасности

Microsoft выпустилаплановыеобновления безопасности, закрывающие114уязвимостей, включая 6 уязвимостей в Microsoft Edgeи4уязвимости вExchangeServer. 19 уязвимостей были классифицированы как Критические и 88 как Важные. Среди закрытых уязвимостей две были обнародованы публично, а эксплуатация одной из этих уязвимостей была зафиксирована в реальных атаках (0-day).

В данной статье я расскажу о самых главных моментах этого выпуска.

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике.

update-tuesday-microsoft-vypustila-aprelskie-obnovleniia-bezopasnosti_1.jpg

На следующие уязвимости и обновления безопасности следует обратить особое внимание.

Была закрыта критическая уязвимость удаленного исполнения кодаCVE-2021-28329 в компонентах среды исполнения RPC), которой подвержены всеподдерживаемые версии Windows и Windows Server.РейтингCVSSсоставил 8.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Апрельскиеобновления также исправляютважнуюуязвимость повышения привилегийCVE-2021-28313 в компонентах Windows Diagnostics Hub.Данная уязвимость затрагиваетпоследние версии Windows 10иWindowsServer20H2, 2004, 1909.РейтингCVSSсоставил7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Также была закрытаважнаяуязвимость повышения привилегийCVE-2021-28347вкомпонентах среды исполненияWindowsSpeech. Уязвимости подвержены все поддерживаемые версии Windows 10. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Устраненаважнаяуязвимость удаленного исполнения кодаCVE-2021-27091вкомпонентахслужбыRPCEndpointMapper, которая была обнародована публично. Данной уязвимости подвержена только ОС Windows Server 2012. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Также обновлениязакрываюткритическуюуязвимостьудаленного исполнения кода CVE-2021-27095 в видео-декодере Windows Media, которой подвержены все версии Windows. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Была закрытаважнаяуязвимость удаленного исполнения кодаCVE-2021-28445 в компонентах Windows Network File System (NFS). Данной уязвимости подвержены все ОС Windows кроме Windows 10 и Windows Server 1803. Рейтинг CVSS составил 8.1, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Устраненаважнаяуязвимость удаленного исполнения кодаCVE-2021-28451 в приложении MicrosoftExcel. Данной уязвимости подвержены Microsoft Office 2019for Windows/Mac, Microsoft Excel2013-2016, Microsoft 365 Apps for Enterprise, Microsoft Office Online Server, Microsoft Office Web Apps Server 2013.РейтингCVSSсоставил7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Замыкает команду лидеровапрельскоговыпуска уязвимость нулевого дня, уже использующуюся в атаках этоважнаяуязвимостьповышения привилегийCVE-2021-28310вкомпонентахWin32k.Данная уязвимостьзатрагиваетверсии Windows 10иWindowsServer20H2, 2004, 1909, 1809, 1803.РейтингCVSSсоставил7.8.

Отдельного внимание заслуживаютрядуязвимостей в почтовом сервереMicrosoftExchange.На этот раз затронуты все поддерживаемые версииExchangeServer2013, 2016,2019.

Примечание: помимо плановых обновлений в марте был внеплановый выпуск обновлений безопасности для локальных версий Microsoft Exchange Server 2010, 2013, 2016, 2019. Подробности об этом выпуске можно получить в нашемблоге.

Все 4 уязвимости в апрельском выпускеCVE-2021-28480,CVE-2021-28481,CVE-2021-28482,CVE-2021-28483были классифицированы как Критические, и потенциально позволяют злоумышленнику удаленно выполнить произвольный код на почтовом сервере.

Информация о данных уязвимостях не была обнародована публично и на данный момент не было зафиксировано использование рабочих эксплоитов в реальных атаках. Максимальный рейтингCVSSсреди уязвимостей составил 9.8 из 10 (самый низкий рейтинг 8.8) и согласно индексу эксплуатации у атак с использованием этих уязвимостей высокий уровень вероятности.

Стоит отметить, что для установки обновлений безопасности, необходимо иметь поддерживаемый уровень кумулятивного пакета на ваших почтовых серверах:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU19/CU20
  • Exchange Server 2019 CU8/CU9

Всеподробностивыможете узнать в блоге команды Microsoft Exchange: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

ОстальныеуязвимостибылиисправленывкомпонентахMicrosoftEdge(надвижкеChromium),MicrosoftOffice (приложения и веб-сервисы),SharePointServer, VisualStudio, VSCode, Azure DevOps Server, AzureSphere, GitHub Pull Requests andIssuesExtensionиMavenJavaExtension.

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен взаметках к выпуску.

Также хочу напомнить, что в марте закончилась поддержка старой версии браузераMicrosoftEdge(на движкеEdgeHTML).При установке апрельского накопительного пакета старый браузер будет заменен новой версиейMicrosoftEdgeна движкеChromium.Подробности 8211; в нашемблоге.

Обновления стека обслуживания

ОбновленияServicingStackUpdates(SSU)быливыпущены для всех поддерживаемых ОС: Windows 10 версии 1809, 1909, 2004, 20H2иWindowsServerверсии2019,1909.

А для версий2004,20H2обновленияSSUтеперь поставляются в едином накопительном пакете вместе с остальными обновлениями.О том, как установить сразу и SSU, и обновления безопасности ОС в одном накопительном пакете, автоматически, соблюдая правильную последовательность, читайте в нашемблоге.

Как всегда самуюполную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем порталеSecurityUpdateGuide.Нам очень интересно узнать ваше мнение о новом порталеSecurityUpdatesGuide, поэтому мы призываем вас поделиться обратной связью о работе портала через этуформу.

Вы также можетепосмотретьзапись нашего ежемесячного вебинараБрифинг по безопасностис более подробнымразборомэтоговыпуска обновлений безопасности Microsoft.

А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на каналhttps://aka.ms/artsin.

Помните,почти 90%всехуязвимостейуже имелипатчиот производителейна моментсвоегообнародования*,поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно.

АртёмСиницынCISSP,CCSP,MCSE,MC:Azure Security Engineer

старшийруководитель программ информационной безопасностив странах Центральнойи Восточной Европы

Microsoft

Twitter:https://aka.ms/artsin

YouTube:https://aka.ms/artsinvideo

*VulnerabilityReviewReportbyFlexera

Видео

Процессоры и память

inzhenernyi-obrazetc-alder-lakes-s-pamiatiu-ddr5-protestirovan-v-dota-2_1.jpg

Инженерный образец alder lake-s с памятью ddr...

  • Май 11, 2021
  • 44

В базе данных программы для мониторинга игровой производительности CapFrameX появилась запись с результатами тестирования инженерного образца настольн...

Мониторы и проекторы

predstavlen-4kmonitor-benq-pd2725u-s-tochnoi-tcvetoperedachei-dlia-dizainerov_1.jpg

Представлен 4k-монитор benq pd2725u с точной ...

  • Май 11, 2021
  • 393

Компания BenQ выпустила профессиональный монитор PD2725U, ориентированный прежде всего на дизайнеров и создателей контента. Новинка получила качествен...

Наверх