Компания Microsoft выпустила первую порцию обновлений в этом году и исправила около 50 уязвимостей в своих продуктах, включая Windows, Internet Explorer, Microsoft Edge, ChakraCore, .NET Framework, ASP.NET, Microsoft Visual Studio, Microsoft Exchange Server, а также Microsoft Office и Microsoft Office Services and Web Apps.
На этот раз обошлось без 0-day багов, хотя ранее разработчики четыре месяца подряд выпускали патчи для уязвимостей нулевого дня, уже находящихся под атакой.
Впрочем, январский «вторник обновлений» исправил 7 критических уязвимостей: три из них касаются скриптового движка ChakraCore (CVE-2019-0539, CVE-2019-0568 и CVE-2019-0567), еще две Hyper-V (CVE-2019-0550, CVE-2019-0551), а также по одному критическому багу пришлось на браузер Edge (CVE-2019-0565) и клиент Windows DHCP (CVE-2019-0547). Суммарно 17 уязвимостей, устраненных в этом месяце, допускают удаленное исполнение произвольного кода (remote code execution, RCE).
Эксперты Trend Micro Zero Day Initiative, посвятившие разбору свежих уязвимостей детальный пост в блоге компании, отмечают, что наиболее опасными в этом месяце можно назвать RCE-проблемы в DHCP (CVE-2019-0547) и Exchange (CVE-2019-0586), так как эти баги могут быть эксплуатированы путем отправки обычного письма уязвимому серверу.
Из всех уязвимостей только одна проблема была публично раскрыта до выхода патчей была: CVE-2019-0579, RCE-баг в движке Windows Jet Database, который можно использовать, заставив жертву открыть специально созданный вредоносный файл.
Также стоит отметить, что патчи для своих продуктов традиционно представила и компания Adobe. В этом месяце исправления коснулись только Adobe Connect и Adobe Digital Editions, а уязвимостей в многострадальном Flash Player выявлено не было.
Вернуться в раздел: Новости