Переглядаючи цей сайт, ви погоджуєтесь з нашою політикою конфіденційності
Прийняти
Вівторок, 8 Лип, 2025
  • Про нас
  • Політика конфіденційності
  • Контакти
CyberCalm
  • Новини
  • Кібербезпека
    КібербезпекаПоказати ще
    Програмне забезпечення прикордонної безпеки ЄС повне вразливостей
    Програмне забезпечення прикордонної безпеки ЄС повне вразливостей
    5 днів тому
    Витік даних розкрив шпигунське ПЗ Catwatchful, яке стежить за тисячами телефонів
    Витік даних розкрив шпигунське ПЗ Catwatchful, яке стежить за тисячами телефонів
    5 днів тому
    gamaredon
    Російські кібершпигуни атакують українців: від фішингових атак до поширення пропаганди
    6 днів тому
    Що таке грумінг в Інтернеті та як від нього вберегтися?
    Що таке грумінг в Інтернеті та як від нього вберегтися?
    6 днів тому
    6 причин, чому ніколи не варто використовувати безкоштовний VPN
    6 причин, чому ніколи не варто використовувати безкоштовний VPN
    1 тиждень тому
  • Гайди та поради
    Гайди та поради
    Корисні поради, які допоможуть вам почуватися безпечно в мережі, а також маленькі хитрощі у користуванні вашими гаджетами.
    Показати ще
    Топ-новини
    Як перенести Telegram на інший телефон
    Як перенести Telegram на інший телефон. ІНСТРУКЦІЯ
    3 місяці тому
    bios header 2 scaled e1722857172752
    Змініть ці 3 параметри безпеки BIOS, щоб зробити ваш ПК більш захищеним
    3 місяці тому
    Як дізнатися, коли ви створили свій обліковий запис Google
    Як дізнатися, коли ви створили свій обліковий запис Google
    3 місяці тому
    Останні новини
    Чи працюватиме Linux на вашому старому ПК? Перевірте процесор
    1 день тому
    Як приховати свій номер телефону в Telegram
    4 дні тому
    Google розкрив секрети дешевих авіаквитків
    1 тиждень тому
    Як увімкнути вбудований захист Windows від програм-вимагачів
    1 тиждень тому
  • Статті
    Статті
    Цікаві статті про світ технологій, інтернет та кіберзахист. Розбираємо складні теми, від штучного інтелекту до безпеки даних та Big Data. Аналітика для допитливих та професіоналів.
    Показати ще
    Топ-новини
    Нетикет: як поводитися в інтернеті, щоб не було соромно
    Нетикет: як поводитися в інтернеті, щоб не було соромно
    3 місяці тому
    7 фактів про смартфон, які ви, мабуть, не знали
    7 фактів про смартфон, які ви, мабуть, не знали
    2 місяці тому
    8 функцій старих смартфонів, які варто повернути
    8 функцій старих смартфонів, які варто повернути
    3 місяці тому
    Останні новини
    Чим відрізняються бізнес-ноутбуки від споживчих (і які варто купувати?)
    1 день тому
    eSIM проти SIM: чи eSIM краща за фізичну SIM-карту?
    1 день тому
    Ліцензійне ПЗ для малого та середнього бізнесу в Україні: що потрібно у 2025 році
    4 дні тому
    Прогноз технологічної індустрії на наступні 5 років: ШІ та роботи проти смартфонів
    4 дні тому
  • Огляди
    ОглядиПоказати ще
    7 ігор, в які можна пограти в Google
    7 ігор, в які можна пограти в Google
    3 години тому
    Найкращі пошукові системи зі штучним інтелектом, якщо ви втомились від Google Пошуку
    Найкращі пошукові системи зі штучним інтелектом, якщо ви втомились від Google
    4 дні тому
    WWDC 2025: Apple представила iOS 26, оновлення інтерфейсу та революційну багатозадачність iPad
    WWDC 2025: Apple представила iOS 26, оновлення інтерфейсу та революційну багатозадачність iPad
    4 тижні тому
    Модель Claude Opus 4 від Anthropic
    Модель Claude Opus 4 від Anthropic може працювати автономно майже цілий робочий день
    2 місяці тому
    Як спробувати Veo 3
    Як спробувати Veo 3, ШІ-генератор відео від Google, який стає вірусним в інтернеті
    2 місяці тому
  • Теми
    • Комп’ютери
    • Смартфони
    • Windows
    • Linux
    • Android
    • iOS
    • Штучний інтелект
    • Розумний будинок
  • Архів
Техногіганти
  • Google
  • Apple
  • Samsung
  • Microsoft
  • Meta
  • OpenAI
Соцмережі
  • Facebook
  • Instagram
  • YouTube
  • TikTok
  • X (Twitter)
  • Threads
Спеціальні теми
  • Кібервійна
  • Безпека дітей в Інтернеті
  • Маніпуляції в медіа
Читання: Microsoft та Adobe випустили ряд оновлень
Розмір шрифтаAa
CyberCalmCyberCalm
Пошук
  • Новини
    • Комп’ютери
    • Смартфони
    • Соцмережі
    • Google
    • Android
    • Apple
    • Windows
    • Linux
    • Штучний інтелект
    • Безпека дітей в інтернеті
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Архів
Follow US
  • Про проєкт “Кібертиша”
  • Політика конфіденційності
  • Контакти
© 2025 Cybercalm. All Rights Reserved.
Головна / Архів / Microsoft та Adobe випустили ряд оновлень

Microsoft та Adobe випустили ряд оновлень

Побокін Максим
6 років тому
Поширити
9 хв. читання

Гігант програмного забезпечення також звернув увагу на 15 критичних недоліків і повідомив про нещодавно розкриту помилку ядра Linux “SACK Panic”.

Компанія Microsoft виправила 77 уразливостей у своєму оновленні  у липні.  Також Adobe випустила невелику групу оновлень, але серед них нема оновлень для Acrobat Reader або Flash. Про це йдеться у великій статті на ThreatPost.

Головні виправлення

Одинадцять критичних помилок стосуються скриптових двигунів і сценаріїв для браузерів, а чотири інших впливають на сервер DHCP, GDI +, .NET Framework і Azure DevOps Server / Team Foundation Server.

“Патчі для скриптових двигунів, браузерних сценаріїв, GDI +, і. NET Framework повинні бути пріоритетами для пристроїв типу робочих станцій, тобто будь-яких систем, які використовуються для електронної пошти або для доступу до Інтернету через браузер”, відповідно до коментарів від Qualys щодо патчів, опублікованих у вівторок. “Це включає багатокористувацькі сервери, які використовуються як віддалені робочі місця для користувачів”.

Microsoft ChakraCore Scripting Engine, Internet Explorer 11 і Microsoft Edge мають уразливість пам’яті в механізмі сценаріїв (CVE-2019-1001), що може призвести до RCE.

“Уразливість існує в тому, як пам’ять обробляє об’єкти, і успішна експлуатація вразливості може дозволити зловмисникові виконати довільний код”, – говорить Аллан Ліска, аналітик розвідки у Recorded Future. “На даний момент майже очікується, що буде виявлено щомісячну вразливість  в браузерах Microsoft для скриптових сценаріїв, оскільки вона все ще є головною мішенню для зловмисників, які швидко застосовують ці уразливості”.

На стороні сервера помилка DHCP-сервера (CVE-2019-0785) – це помилка віддаленого виконання коду (RCE), яка існує, коли сервер налаштований на відмовостійкість; зловмисник з мережевим доступом до відновлювального сервера DHCP може виконувати довільний код. Вона впливає на всі версії Windows Server від 2012 до 2019 року. Дуже подібна уразливість, CVE-2019-0725, була виправлена в травні.

“Одна з найбільш критичних вразливостей цього місяця присутня у Microsoft DHCP Server”, – сказав Ліска. “Ця вразливість пам’яті … дозволяє зловмисникам надсилати спеціально створений пакет на сервер DHCP і, якщо він успішно експлуатується, виконувати довільний код.”

І, нарешті, Azure DevOps Server / Team Foundation Server Azure DevOps Server і Team Foundations Server (TFS) мають уразливість RCE (CVE-2019-1072), яку можна використовувати шляхом завантаження шкідливих файлів.

“Кожен, хто може завантажити файл, може запускати код у контексті облікового запису Azure DevOps / TFS”, – стверджує Qualys. Це включає в себе анонімних користувачів, якщо сервер налаштований на таку роботу. Це виправлення має бути пріоритетним для будь-яких версій Azure DevOps або TFS.

Ліска тим часом відмітив, що успішне використання цієї уразливості вимагає від цільового проекту дозволити надсилання анонімних файлів.

“Якщо зловмисник надіслав спеціально створений файл до цільового проекту як анонімний користувач, він міг би виконувати довільний код на цільовому сервері”, – сказав він. “У минулому система Azure не була великою мішенню для зловживань, але це вразливість, яку слід швидко виправити через легкість, з якою ця уразливість може бути використана в великих масштабах”.

Image result for windows 10

Активно використовуються помилки збільшення привілеїв користувача

Крім того, програмний гігант випустив патчі важливого рівня для двох вразливостей ескалації привілеїв в Win32k і splwow64, які активно використовуються в реальному житті, в не гіпотетично. Qualys вказала у звіті, що патчі, хоча і позначені як важливі, повинні бути пріоритетними, оскільки вони можуть бути прив’язані до інших вразливостей, щоб забезпечити зловмиснику повний доступ до системи. Іншими словами, як тільки вони підвищують свій рівень привілеїв, зловмисники можуть використовувати іншу вразливість, щоб дозволити їм виконувати код. Помилка Win32 (CVE-2019-1132) актуальна  на Windows 7, Server 2008 і Server 2008 R2.

“Хоча зловмисник мав би отримати доступ до системи, щоб виконати експлойт, вразливість, якщо вона буде використана, дозволить зловмиснику взяти повний контроль над системою”, – сказав Кріс Гьоттл , директор з управління продуктами безпеки компанії Ivanti.

Між тим, помилка у splwow64 (CVE-2019-0880), яка є драйвером принтера для 32-розрядних додатків, дозволить зловмисникам перейти від низьких до середніх привілеїв користувача. Якщо патч не може бути негайно розгорнутий, цю уразливість можна нейтралізувати тимчасово, вимкнувши друк. Це впливає на Windows 8.1, Server 2012 і пізніші ОС.

Outlook, Linux SACK і рекомендації, які варто відзначити

Корпорація Microsoft також випустила дві помітні рекомендації, одну для Outlook в Інтернеті та іншу для відомих уразливостей ядра Linux, які були розкриті в червні, а також кілька інших виправлень, які адміністратори повинні визначити за пріоритетами, на думку дослідників.

“Уразливість крос-платформенних  сценаріїв в Outlook в Інтернеті (раніше OWA) дозволить зловмисникам надіслати зловмисний файл SVG до цілі, щоб скористатися ним. Проте для успіху від цільового користувача вимагається відкрити файл зображення безпосередньо, перетягнувши його на нову вкладку або вставивши URL-адресу в нову таблицю Хоча це ймовірний сценарій атаки, який поки ніде не був реалізований, Microsoft рекомендує блокувати файли SVG”, – стверджує Qualys.

У червні було повідомлено про декілька вразливостей відмови в обслуговуванні (DoS) для ядра Linux (CVE-2019-11477, CVE-2019-11478 і CVE-2019-11479). Три пов’язані недоліки були виявлені в керуванні мережею TCP ядром Linux; перші два відносяться до пакетів TCP Selective Acknowledgment (SACK), об’єднаних з параметром Maximum Segment Size, а третій лише з параметром Maximum Segment Size. Найбільш серйозна уразливість (CVE-2019-11477, названа SACK Panic) впливає на версії Linux 2.6.29 і вище. Це може дозволити віддаленому зловмиснику викликати паніку ядра в системах, на яких працює програмне забезпечення, що впливає, і, як наслідок, впливати на доступність системи.

Також слід звернути увагу на патч для недоліку RCE SQL Server (CVE-2019-1068). Ця вразливість оцінюється як важлива, і вимагає аутентифікації – однак, вона також може бути прив’язана до SQL ін’єкції, щоб дозволити зловмиснику повністю скомпрометувати сервер, стверджує Qualys, тому має бути визначений пріоритет.

Одним з інших виправлень, які, на думку дослідників, варто виділити, є CVE-2019-0887, уразливість на середньому рівні щодо служб віддалених робочих столів (RDS), розкрита компанією Check Point минулого місяця. Проблема існує в тому, як RDS обробляє перенаправлення буфера обміну, згідно з Ліскою. Він вимагає, щоб зловмисник мав доступ до сервера RDS; коли жертва підключається до цього сервера, зловмисник може використовувати вразливість для виконання довільного коду на системі жертви. Помилка актуальна для всіх версій Windows від Windows 7 до 10 і Windows Server 2008 на 2019 рік.

“Оновлення вівторка” Adobe

Adobe тим часом випускає патчі для Bridge CC, Experience Manager і Dreamweaver.  В Experience Manager виправлені три вразливостей, а у Bridge та Dreamweaver — одна.  Жодна з них не позначена як критична, а найвища оцінена вразливість для кожного програмного пакета позначена як важлива.

“Adobe випустила три патчі за липень, але дивно, що жоден з них не призначений для Adobe Flash або Acrobat Reader”, – сказав Дастін Чайлдс, дослідник з Zero-Day Initiative (ZDI) компанії Trend Micro (ZDI).

Замість цього, загалом п’ять CVE  патчаться  виправленнями для Adobe Bridge, Experience Manager і Dreamweaver. CVE, виправлений патчем Bridge, виправляє помилку розкриття інформації і повідомляється через програму ZDI. Патч Experience Manager є найбільшим у цьому місяці. Всі ці виправлені помилки є помилками перевірки вхідних даних. Патч для Dreamweaver виправляє одну проблему завантаження DLL. Жодна з цих помилок не зазначена як загальновідома під час випуску.

Також стало відомо, що  Microsoft планує інтегрувати підсистему Windows для Linux 2 у весняне оновлення функцій 2020 року – Windows 20H1. Нова версія постачається з повноцінним ядром Linux і змінює спосіб взаємодії бінарних файлів з Windows і обладнанням комп’ютера.

А Google додала нову функцію для Chrome – розширення безпеки, що дозволяє користувачам швидко повідомляти команді Google Safe Browsing про підозрілі сайти. Розширення Suspicious Site Reporter є безкоштовним в офіційному магазині Chrome Web Store.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

Перевірте свою поштову скриньку або папку зі спамом, щоб підтвердити підписку.

ТЕМИ:AdobeAzureLinuxMicrosoftOutlookWindows 10виправлення помилкиКомп'ютерионовленняпатч безпеки
Поділитися
Facebook Threads Копіювати посилання Друк
Що думаєте?
В захваті0
Сумно0
Смішно0
Палає0
Овва!0
Попередня стаття placeholder З’явився новий спосіб, як вкрасти дані з ізольованих систем
Наступна стаття placeholder Google запускає експериментальну мережу Shoelace

В тренді

7 ігор, в які можна пограти в Google
7 ігор, в які можна пограти в Google
3 години тому
Що таке грумінг в Інтернеті та як від нього вберегтися?
Що таке грумінг в Інтернеті та як від нього вберегтися?
6 днів тому
Як приховати свій номер телефону в Telegram
Як приховати свій номер телефону в Telegram
4 дні тому
eSIM проти SIM: чи eSIM краща за фізичну SIM-карту?
eSIM проти SIM: чи eSIM краща за фізичну SIM-карту?
1 день тому
Чим відрізняються бізнес-ноутбуки від споживчих (і які варто купувати?)
Чим відрізняються бізнес-ноутбуки від споживчих (і які варто купувати?)
1 день тому

Рекомендуємо

Чи працюватиме Linux на вашому старому ПК? Перевірте процесор
Гайди та поради

Чи працюватиме Linux на вашому старому ПК? Перевірте процесор

1 день тому
Ліон відмовляється від Microsoft на користь Linux
Статті

Ліон відмовляється від Microsoft на користь Linux: чому французьке місто обирає цифрову незалежність

1 тиждень тому
Як увімкнути вбудований захист Windows від програм-вимагачів
Гайди та поради

Як увімкнути вбудований захист Windows від програм-вимагачів

1 тиждень тому
Як обрати характеристики фізичного сервера: CPU, RAM, SSD
Статті

Як обрати характеристики фізичного сервера: CPU, RAM, SSD

3 тижні тому
CyberCalmCyberCalm
Follow US
© 2025 Cybercalm. All Rights Reserved.
  • Про проєкт “Кібертиша”
  • Політика конфіденційності
  • Контакти
Cybercalm
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?