Microsoft и Adobe издадоха редовните си месечни пакети с обновления

Новата година чука на вратата, но това не означава, че защитните екипи в Adobe и Microsoft са си дали почивка, тъй като вчера бяха издадени последните за годината редовни пакети с обновления на двете компании. Да се надяваме, че това ще са наистина последни за годината пачове.

Майкрософтския Patch Tuesday съдържа решения за по-малко от 40 дупки в софтуера на компанията (всеки месечен пакет от 2018 съдържаше повече от 50), като девет се считат за критично важни. Една от тях е забелязана в атаки, което означава, че налагането ? е задължително.

Проблемът тук се крие в начина, по който ядрото на Windows обработва обекти в паметта, а успешното експлоатиране на дупката (CVE-2018-8611) може да доведе до неразрешено повишение на привилегиите на атакуващата страна. За да се случи това обаче, тя е нужно да се е логнала в системата, а след успешното експлоатиране поема пълен контрол над системата.

Друг проблем (CVE-2018-8517) пък беше публично разкрит преди дни. Това означава, че вероятността да последват атаки, свързани с него не е въобще малка. Става дума за уязвимост в уеб приложенията, изградени с помощта на .NET Framework. Успешното експлоатиране на тази уязвимост може да доведе до отказ за изпълнение на услуга. Макар и определена като „важна“, а не критична, споменаването ? е нужно, тъй като, както вече бе споменато, технически детайли за изпълнението ? вече бяха публикувани открито.

Сред другите запушени дупки в декемврийския Patch Tuesday присъства редовните вече обновления за проблеми в браузърите и в продуктите от серията Office. Специално внимание заслужава също така и CVE-2018-8626, свързан с бъг в Windows DNS Server и възможността за изпълнението на код по отдалечен път. Успешното експлоатиране може да доведе до изпращането на зловредна заявка към сървъра. И това не е единствената уязвимост от сървърна страна, запушена тук. Адресирани са и проблеми в SharePoint, Exchange Server 2016 и Microsoft Dynamics NAV.

Що се отнася до Adobe, които приключват също, както Microsoft със запушването на дупка в техен продукт, която е експлоатирана активно – това се случи миналата седмица, компанията покрива сериозен набор от проблеми в своя собствен Patch Tuesday пакет с издаването на решения за цели 89 проблема, открити в спектъра от продуктите им от линията Acrobat. Една част от тях са свързани с възможността за изпълнението на зловреден код по дистанционен път, което означава, че налагането им не е въпрос на избор.