Microsoft исправила уязвимость нулевого дня в Internet Explorer
Уязвимость в Internet Explorer активно эксплуатируется в атаках.
Во вторник, 12 февраля, Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, в частности для Microsoft Windows, Office, IE, Edge, .Net Framework, Exchange Server, Visual Studio, Team Foundation Server и Asure IoT SDK Dynamics. В общей сложности была исправлена 71 уязвимость, из них 20 отмечены как критические, 49 – опасные и 4 – средней опасности. Помимо прочего, компания исправила опасную уязвимость нулевого дня в Internet Explorer (CVE-2019-0676). Проблема представляет собой раскрытие информации. Для ее эксплуатации злоумышленник должен заставить жертву посетить вредоносный сайт. Обязательным условием для осуществления атаки является авторизация атакующего на системе.
Напомним, недавно Microsoft публично призвала отказаться от использования Internet Explorer в качестве браузера, назвав продукт не более чем «решением для обеспечения совместимости».
Также была исправлена уязвимость повышения привилегий PrivExchange (CVE-2019-0686), позволяющая любому владельцу почтового ящика стать администратором домена. Производитель подтвердил наличие проблемы только на прошлой неделе, хотя PoC-эксплоит был опубликован еще в прошлом месяце.
Непосредственно перед выпуском обновлений Microsoft наконец-то решила проблему с доступом к «Центру обновления Windows». Как пояснили в компании, неполадки возникли по вине внешнего DNS-провайдера. Поврежденные записи DNS быстро распространились на других DNS-провайдеров, что привело к настоящей неразберихе среди пользователей, пытавшихся установить обновления.