Апрельский «вторник обновлений» принес исправления для 113 уязвимостей в 11 продуктах Microsoft, причем некоторые из них уже находились под атаками. 17 уязвимостей были оценены как критические, а еще 96 получили статус важных.

Пока подробная информация об уязвимостях нулевого дня, обнаруженных экспертами Google Project Zero и Threat Analysis Group, как обычно, пока не раскрывается. Эти данные придержат на несколько дней или недель, чтобы дать пользователям время на установку исправлений и помешать злоумышленникам разработать PoC-эксплоиты. Так что пока неясно, использовались эти проблемы одной хак-группой, или же речь идет о разных кампаниях и злоумышленниках.

Наиболее серьезными проблемами этого месяца стали три уязвимости нулевого дня, которые уже используют злоумышленники. Первый баг, CVE-2020-1020, был связан с Adobe Type Manager Library (atmfd.dll). Он позволяет злоумышленнику удаленно выполнить произвольный код на уязвимых системах. Эта проблема не представляет большой угрозы для Winows10, зато опасна для других ОС компании. Первые данные об этой уязвимости появились еще в конце марта 2020 года, но патч выпустили только сейчас.

Вторая 0-day уязвимость, CVE-2020-0938, тоже связана с библиотекой Adobe Type Manager. В целом ошибка весьма похожа на вышеописанную, но о ее существовании стало известно только теперь. Эксплуатации этого бага успешно препятствовали рекомендованные специалистами Microsoft  меры по снижению рисков: отключение Preview Pane и Details Pane, то есть панелей предварительного просмотра и сведений, отключение службы WebClient, а также переименование ATMFD.DLL.

Третья уязвимость имеет идентификатор CVE-2020-1027. Этот баг связан с ядром Windows и тем, как оно обрабатывает объекты в памяти. Проблема позволяет злоумышленникам повысить свои привилегии для запуска произвольного кода с доступом к ядру.

Также изначально Microsoft сообщала, что существует и четвертая уязвимость нулевого дня, находящаяся под атаками: CVE-2020-0968. Проблема связана со скриптовым движком Internet Explorer, и она якобы позволяла хакерам установить полный контроль над уязвимой системой. Как оказалось, это сообщение было ошибкой: проблему CVE-2020-0968 не использовали хакеры, и она не имела статуса 0-day.

Эксперты из Trend Micro Zero Day Initiative, которые традиционно подготовили детальный разбор свежих исправлений, отмечают, что количество CVE, исправленных Microsoft в период с января по апрель 2020 года, на 44% больше по сравнению с аналогичным периодом прошлого года.

Напомню, что обновления для своих продуктов на этой неделе также представили разработчики Adobe, SAP, VMWare, Intel и Oracle.    

Теги: CSS