Microsoft випустила пакет оновлень, який усуває в цілому 74 баги, включаючи дві уразливості нульового дня, в різних продуктах.
Обидві проблеми (CVE-2019-0803 і CVE-2019-0859) представляють собою уразливості підвищення привілеїв, що зачіпають компонент Win32k. Відповідно до опису Microsoft, баг існує в зв’язку з некоректною обробкою об’єктів у пам’яті, а його експлуатація дозволяє виконати код у режимі ядра. В результаті зловмисник отримає можливість встановлювати програми, переглядати, змінювати або видаляти дані, створювати нові облікові записи з повними правами тощо. Для експлуатації уразливості хакер повинен авторизуватися в системі і запустити шкідливий додаток.
В яких саме атаках використовуються вищевказані уразливості, компанія не повідомила.
З повним списком виправлених проблем можна ознайомитися Тут.
До речі, Microsoft нарешті випустила першу збірку свого браузера Edge, побудовану на базі Chromium. Її вже може завантажити будь-який бажаючий на комп’ютер під керуванням Windows 10.
Спеціаліст із безпеки Джеймс Лі (James Lee) оприлюднив PoC-коди для двох уразливостей в Microsoft Edge і Internet Explorer, що дозволяють обійти політику єдиного походження (Same Origin Policy, SOP) у браузерах. Рішення про публікацію прийнято після того, як компанія Microsoft проігнорувала звіт про проблему.
Intel попереджає користувачів Windows 10 про небезпеку застарілих графічних драйверів, у яких присутні серйозні уразливості. Корпорація рекомендує: драйвери необхідно оновлювати, встановивши всі патчі, які Intel випустила за минулий рік.
Останнє оновлення для Windows 10 повинно було привнести ряд поліпшень в систему, але насправді подарувало користувачам лише проблеми. Особливо постраждали геймери, до яких Microsoft нещодавно звернулася за допомогою у розвитку системи.
Також у п’яти найпопулярніших менеджерах паролів для Windows 10 – 1Password 7, 1Password 4, Dashlane, KeePass і LastPass – виявили уразливості.
Поточні тести зі зламу паролів показують, що мінімальний восьмизначний пароль, незалежно від складності, може бути зламаний менш ніж за 2,5 години з використанням відповідного апаратного оснащення.
Спеціаліст з безпеки Лінус Хенце (Linus Henze) виявив уразливість в операційній системі Apple macOS, яка надає можливість отримати облікові дані з зв’язки ключів (KeyChain) на комп’ютерах Мас без прав адміністратора або суперкористувача.
