Ноябрьские обновления безопасности Microsoft исправляют 0-day в Windows

Во вторник, 10 ноября, компания Microsoft выпустила плановые ежемесячные обновления безопасности в своих продуктах. Обновления исправляют 112 уязвимостей в различных продуктах, начиная от Microsoft Edge и закачивая Windows WalletService. 24 уязвимости являются критическими, поскольку позволяют злоумышленникам удаленно выполнить код на системе жертвы.

Ноябрьский «вторник исправлений» также включает патч для уязвимости нулевого дня в Windows ( CVE-2020-17087 ), активно эксплуатируемой киберпреступниками. Уязвимость существует в ядре Windows и затрагивает все поддерживаемые версии ОС.

Проблема была обнаружена специалистами из Google Project Zero и TAG 30 октября нынешнего года. По их словам, уязвимость эксплуатируется в связке с уязвимостью нулевого дня в Chrome ( CVE-2020-15999 ) для атак на пользователей Windows 7 и Windows 10. С помощью CVE-2020-15999 атакующие запускают вредоносный код в браузере, а затем используют уязвимость нулевого дня в Windows для обхода песочницы в Chrome и повышения привилегий кода, чтобы он мог атаковать ОС.

Как сообщалось выше, Microsoft также исправила 24 критические уязвимости. Проблемы затрагивают Excel, Microsoft Sharepoint, Microsoft Exchange Server, Windows Network File System, компонент Windows GDI+, службу диспетчера очереди печати Windows и даже Microsoft Teams.