Microsoft исправила 19 критических уязвимостей в своих браузерах

В рамках "вторника исправлений" Microsoft выпустила плановые обновления безопасности, исправляющие в общей сложности 34 уязвимости, в том числе 19 критических в браузерах компании Internet Explorer и Edge. В большинстве случаев проблемы связаны с браузерными движками и могут быть проэксплуатированы удаленным злоумышленником для выполнения произвольного кода на уязвимых устройствах. Для успешной атаки хакеру нужно заманить жертву на специально созданный web-сайт или ресурс, на котором распространяются вредоносные рекламные объявления. По словам исследователей из Trend Micro Zero Day Initiative, интересной проблемой является CVE-2017-11927, представляющая собой уязвимость раскрытия информации в Windows. Данная проблема затрагивает обработчик протокола its:// в Windows. ITS или InfoTech Storage Format - формат хранения, используемый в CHM-файлах. Как пояснили эксперты, теоретически у пользователя не должно быть доступа к удаленному контенту при использовании ITS вне зоны локального компьютера. Данная проблема была решена с выпуском обновлений в 2005 году. Однако, судя по всему, уязвимость все же сохранилась, предоставляя возможность злоумышленникам обманом заставить пользователя посетить вредоносный сайт, получить доступ к хэшу NTLM, а затем осуществить брутфорс-атаку для получения соответствующего пароля. Список исправленных уязвимостей также включает в себя проблемы в Office, Exchange, уязвимость эскалации привилегий в SharePoint и уязвимость удаленного выполнения кода в Excel. По словам представителей Microsoft, ни одна из уязвимостей, исправленных в этом месяце, не была проэксплуатирована злоумышленниками или публично раскрыта до выхода патча. Ранее в декабре Microsoft выпустила внеплановое обновление безопасности, исправляющее критическую уязвимость в движке Malware Protection Engine (MPE), которая позволяет атакующему получить полный контроль над системой.