обновление, безопасность, microsoft, office

Microsoft устранила критические уязвимости удаленного выполнения кода в нескольких версиях SharePoint с помощью обновлений безопасности Office в этом месяце.

Всего в этом месяце компания выпустила 23 обновления безопасности и 5 накопительных обновлений для 7 различных продуктов, устранив 9 уязвимостей, которые могли позволить злоумышленникам удаленно выполнять произвольный код на уязвимых системах.

Редмонд также выпустил декабрьские обновления безопасности во вторник 2020 года с обновлениями безопасности для 58 уязвимостей, девять из которых оценены как критические.

Обновления Windows, не связанные с безопасностью, также были выпущены с накопительными обновлениями Windows 10 KB4592449 и KB4592438.

Ошибка удаленного выполнения кода с предварительной аутентификацией SharePoint

Основными моментами обновлений безопасности Microsoft Office в этом месяце, несомненно, являются две ошибки безопасности RCE, влияющие на Microsoft SharePoint.

В то время как первый, отслеживаемый как CVE-2020-17121, требует от злоумышленников наличия базовых пользовательских привилегий для эксплуатации, второй, отслеживаемый как CVE-2020-17118, может использоваться удаленно без аутентификации.

Для успешного использования CVE-2020-17118 в атаках низкой сложности злоумышленники также должны обманывать цели для открытия вредоносных файлов Office.

READ  Ежегодное мероприятие в честь Хэллоуина в Fortnite начинается, игровой концерт Джей Бэлвина 31 октября

На основании информации, предоставленной Microsoft в рекомендациях по безопасности, также доступен проверочный код эксплойта CVE-2020-17118 (хотя, вероятно, общий доступ к нему осуществляется частным образом).

Ошибка была обнаружена Джонатаном Берчем, старшим инженером по безопасности в группе безопасности Microsoft Office, и она затрагивает Microsoft SharePoint Server 2019, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 с пакетом обновления 1 и Microsoft SharePoint Foundation 2010 с пакетом обновления 2.

«Код или методика работают не во всех ситуациях и могут потребовать существенной модификации опытным злоумышленником». поясняет Microsoft.

Проблемы безопасности Microsoft Office, решенные в этом месяце

Обновления безопасности, опубликованные в рамках вторника исправлений за декабрь 2020 г., устраняют ошибки, которые могут позволить удаленное выполнение кода (RCE) в системах Windows, работающих под управлением уязвимых выпусков Microsoft Office на основе Click to Run и Microsoft Installer (.MSI).

9 ошибок RCE, исправленных в этом месяце, оценены Microsoft как критические или важные проблемы серьезности, поскольку они могут позволить злоумышленникам выполнить произвольный код в контексте текущего пользователя после успешной эксплуатации.

READ  Приложение для измерения AR выпущено для Honor 30S с ноябрьской системой безопасности

Затем злоумышленники могут устанавливать вредоносные программы, просматривать, изменять и удалять данные, а также создавать мошеннические учетные записи администраторов на скомпрометированных устройствах Windows.

ТегCVE IDзаглавиеСтрогость
Microsoft OfficeCVE-2020-17130Уязвимость обхода функции безопасности Microsoft ExcelВажный
Microsoft OfficeCVE-2020-17128Уязвимость Microsoft Excel, связанная с удаленным выполнением кодаВажный
Microsoft OfficeCVE-2020-17129Уязвимость Microsoft Excel, связанная с удаленным выполнением кодаВажный
Microsoft OfficeCVE-2020-17124Уязвимость Microsoft PowerPoint, связанная с удаленным выполнением кодаВажный
Microsoft OfficeCVE-2020-17123Уязвимость Microsoft Excel, связанная с удаленным выполнением кодаВажный
Microsoft OfficeCVE-2020-17119Уязвимость Microsoft Outlook, связанная с раскрытием информацииВажный
Microsoft OfficeCVE-2020-17125Уязвимость Microsoft Excel, связанная с удаленным выполнением кодаВажный
Microsoft OfficeCVE-2020-17127Уязвимость Microsoft Excel, связанная с удаленным выполнением кодаВажный
Microsoft OfficeCVE-2020-17126Уязвимость Microsoft Excel, связанная с раскрытием информацииВажный
Microsoft OfficeCVE-2020-17122Уязвимость Microsoft Excel, связанная с удаленным выполнением кодаВажный
Microsoft Office SharePointCVE-2020-17115Уязвимость Microsoft SharePoint SpoofingУмеренный
Microsoft Office SharePointCVE-2020-17120Уязвимость Microsoft SharePoint, связанная с раскрытием информацииВажный
Microsoft Office SharePointCVE-2020-17121Уязвимость Microsoft SharePoint, связанная с удаленным выполнением кодаКритический
Microsoft Office SharePointCVE-2020-17118Уязвимость Microsoft SharePoint, связанная с удаленным выполнением кодаКритический
Microsoft Office SharePointCVE-2020-17089Уязвимость Microsoft SharePoint, связанная с повышением привилегийВажный
READ  Google откатил обновление, которое сломало SMS на телефонах Android

Обновления безопасности Microsoft Office за декабрь 2020 г.

Обновления безопасности Microsoft Office доставляются через платформу Microsoft Update и через Центр загрузки.

подробности о каждом из них, включая идентификаторы CVE, доступны в статьях базы знаний, ссылки на которые приведены ниже.

Чтобы загрузить обновления безопасности Microsoft Office за декабрь 2020 г., щелкните соответствующую статью базы знаний ниже и прокрутите вниз до раздела «Как загрузить и установить обновление».