Новости ИТ-отрасли / Новости компании / Лента Ит-Форума

13.09.2019

Выпущены обновления безопасности Microsoft за сентябрь 2019


Компания Microsoft выпустила обновления безопасности за сентябрь. В этой статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Сводная информация по количеству и типу уязвимостей закрытых сентябрьскими обновлениями безопасности

Обратите внимание

На следующие уязвимости и обновления безопасности следует обратить особое внимание:

Windows

CVE-2019-1235 – Windows Text Service Framework (Publicly disclosed)

CVE-2019-1253 – Windows AppX Deployment Server (Publicly disclosed)

CVE-2019-1294 – Secure Boot (Publicly disclosed)

CVE-2019-1273 – Active Directory Federation Services (Base CVSS Score 8.2)

CVE-2019-1214 – Common Log File System Driver (Exploitation detected)

CVE-2019-1215 – Windows Winsock driver (Exploitation detected)

Microsoft Browsers

CVE-2019-1208 – VBScript Remote Code Execution Vulnerability

Microsoft Office

CVE-2019-1297 – Microsoft Excel (Preview Pane is not an attack vector)

Microsoft SharePoint

CVE-2019-1296 – Microsoft SharePoint Remote Code Execution Vulnerability

Microsoft Exchange

CVE-2019-1233 – Microsoft Exchange Denial of Service Vulnerability

CVE-2019-1266 – Microsoft Exchange Spoofing Vulnerability

Microsoft Skype for Business/Lync

CVE-2019-1209 – Microsoft Lync 2013 Information Disclosure Vulnerability

.NET Framework

CVE-2019-1142 – .NET Framework Elevation of Privilege Vulnerability

CVE-2019-1301 – .NET Core Denial of Service Vulnerability

CVE-2019-1142 – ASP.NET Core Elevation of Privilege Vulnerability

Visual Studio

CVE-2019-1232 – Diagnostics Hub Standard Collector Service Elevation of Privilege Vulnerability

CVE-2019-1305 – Team Foundation Server Cross-site Scripting Vulnerability

CVE-2019-1306 – Azure DevOps and Team Foundation Server Remote Code Execution Vulnerability

Рекомендации по безопасности

Были выпущены следующие рекомендательные документы (security advisory):

ADV190022 – September 2019 Adobe Flash Security Update

Были дополнены и обновлены следующие рекомендательные документы:

ADV990001 – Latest Servicing Stack Updates

New Servicing Stack Update (KB4512937) for all versions of Windows OS.

ADV190013 – Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

New updates provide protections for the 32-bit (x86) versions of: Server 2008, Windows 7, Windows 8.1, Windows 10 v1607, 1703, 1709, 1803, 1809, 1903.

Внимание:

ADV190023 – Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing.

В одном из будущих выпусков обновлений в начале 2020 г. компания Microsoft предоставит обновление Windows, которое изменит настройки по умолчанию для параметров подписывания протокола LDAP (LDAP signing) и проверки привязки канала протокола LDAP (LDAP channel binding) для обеспечения более защищенной конфигурации. Когда обновление станет доступно, заказчики будут уведомлены посредством данной рекомендательной статьи.

В настоящее время мы настоятельно рекомендуем при первой возможности предпринять следующее:

  • Настройте ваши системы в соответствии с рекомендациями по усилению безопасности контроллеров домена Active Directory (включите параметры подписывания протокола LDAP (LDAP signing) и проверки привязки канала протокола LDAP (LDAP channel binding);
  • Выявите и исправьте возможные проблемы совместимости приложений в вашей инфраструктуре.

За подробностями обратитесь к этой статье: https://support.microsoft.com/help/4520412.


Возможные проблемы

Ниже представлен список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы после установки:

KB Article Applies To
4512578 Windows 10, version 1809, Windows Server 2019
4515384 Windows 10, version 1903, Windows Server version 1903
4515832 Microsoft Exchange Server 2019 and Exchange Server 2016
4516044 Windows 10, version 1607, Windows Server 2016
4516046 Internet Explorer
4516055 Windows Server 2012 (Monthly Rollup)
4516058 Windows 10, version 1803, Windows Server version 1803
4516062 Windows Server 2012 (Security-only update)
4516064 Windows 8.1, Windows Server 2012 R2 (Security-only update)
4516065 Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Monthly Rollup)
4516066 Windows 10, version 1709
4516067 Windows 8.1, Windows Server 2012 R2 (Monthly Rollup)
4516068 Windows 10, version 1703
4516070 Windows 10

Дополнительная информация

Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

Артём Синицын CISSP, MCSE

руководитель программ информационной безопасности

Microsoft

@ArtyomSinitsyn


Источник: news.microsoft.com

Поделиться:   

Возврат к списку


Материалы по теме:




Подписаться на новости!