Microsoft выпустила декабрьские обновления безопасности

В декабре компания Microsoft выпустила последние в этом году обновления безопасности, закрывающие 58 уязвимостей, 9 из которых классифицированы как критические.В данной статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд
Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:



Представляем новую версию нашего портала
С этого месяца мы перешли на использование новой версии портала Security Updates Guide (SUG), доступной по адресу aka.ms/sug. Подробности можно прочитать в нашем блоге.



По многочисленным просьбам была добавлена темная тема оформления 



Также была переработана структура описания уязвимостей и теперь она полностью выверена с атрибутами системы оценки уязвимостей CVSS. Подробности можно прочитать в нашем блоге.



Нам очень интересно узнать ваше мнение о новом портале Security Updates Guide, поэтому мы призываем вас поделиться обратной связью о работе портала через эту форму.

Обратите внимание
На следующие уязвимости и обновления безопасности следует обратить особое внимание: 

Windows

CVE-2020-17095 Hyper-V Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 8.5
Attack Vector Network
Attack Complexity High
Privileges Required Low
User Interaction None
Scope Changed
Confidentiality High
Integrity High
Availability High
Affected Software All supported versions of Windows 10 for x64-based systems, Windows Server 2016, Windows Server 2016 (Server Core), Windows Server 2019, Windows Server 2019 (Server Core), Windows Server v1903 (Server Core), Windows Server v1909 (Server Core), Windows Server v2004 (Server Core), and Windows Server v20H2 (Server Core)
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17095
 

CVE-2020-17096 Windows NTFS Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Important
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation more likely
CVSS Base Score 7.5
Attack Vector Network
Attack Complexity High
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software All supported versions of Windows 10, Windows 8.1, Windows Server 2012, Windows Server 2012 (Server Core), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core), Windows Server 2016, Windows Server 2016 (Server Core), Windows Server 2019, Windows Server 2019 (Server Core), Windows Server v1903 (Server Core), Windows Server v1909 (Server Core), Windows Server v2004 (Server Core), and Windows Server v20H2 (Server Core)
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17096
 

CVE-2020-16996 Kerberos Security Feature Bypass Vulnerability
Impact Security Feature Bypass
Severity Important
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 6.5
Attack Vector Network
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality None
Integrity High
Availability None
Affected Software Windows Server 2012, Windows Server 2012 (Server Core), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core), Windows Server 2019, Windows Server 2019 (Server Core), Windows Server 2016, Windows Server 2016 (Server Core), Windows Server v1903 (Server Core), Windows Server v1909 (Server Core), Windows Server v2004 (Server Core), and Windows Server v20H2 (Server Core)
 Microsoft Browsers

CVE-2020-17131 Chakra Scripting Engine Memory Corruption Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 4.2
Attack Vector Network
Attack Complexity High
Privileges Required None
User Interaction Required
Scope Unchanged
Confidentiality Low
Integrity Low
Availability None
Affected Software ChakraCore, Microsoft Edge on all supported versions of Windows 10 and corresponding Windows Server versions
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17131
Microsoft Office

CVE-2020-17128 Microsoft Excel Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Important
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 7.8
Attack Vector Local
Attack Complexity Low
Privileges Required None
User Interaction Required
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software Microsoft 365 Apps for Enterprise, Excel 2010, Excel 2013, Excel 2016, Office 2010, Office 2016, Office 2019, Office 2019 for Mac, Office Online Server, and Office Web Apps 2013
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17128
 Microsoft SharePoint Server

CVE-2020-17121 Microsoft SharePoint Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation more likely
CVSS Base Score 8.8
Attack Vector Network
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software Microsoft SharePoint Enterprise Server 2016, SharePoint Foundation 2010, SharePoint Foundation 2013, and SharePoint Server 2019
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17121
Microsoft Exchange Server

CVE-2020-17142 Microsoft Exchange Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 8.4
Attack Vector Network
Attack Complexity Low
Privileges Required High
User Interaction Required
Scope Changed
Confidentiality High
Integrity High
Availability High
Affected Software Exchange Server 2013, Exchange Server 2016, and Exchange Server 2019
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17142
Dynamics 365 On-premises

CVE-2020-17158 Microsoft Dynamics 365 for Finance and Operations (on-premises) Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation more likely
CVSS Base Score 8.8
Attack Vector Network
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software Dynamics 365 for Finance and Operations
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17158
 Рекомендации по безопасности

ADV200013 – Microsoft Guidance for Addressing Spoofing Vulnerability in DNS Resolver

Microsoft is aware of a vulnerability involving DNS cache poisoning caused by IP fragmentation that affects Windows DNS Resolver. An attacker who successfully exploited this vulnerability could spoof the DNS packet which can be cached by the DNS Forwarder.

Suggested Actions: Review workarounds (max UDP buffer size) in the advisory.

ADV990001 – Latest Servicing Stack Updates (SSU)

Обновления SSU были выпущены для следующих версий Windows:

-Windows 10 1809/Server 2019
-Windows 10 2004/Windows Server, version 2004
-Windows 10 20H2/Windows Server, version 20H2
О важных изменениях в жизненном цикле обновлений SSU и объединении в единый накопительный пакет обновлений Вы можете прочитать в нашем блоге.

О том, как установить сразу и SSU, и обновления безопасности ОС в одном накопительном пакете, автоматически, соблюдая правильную последовательность, читайте в нашем новом блоге.

Окончание поддержки
В ноябре заканчивается поддержка следующих продуктов:

-Windows 10 1809 (Home, Pro, Pro EDU, Pro for Workstation, IoT Core)
-Windows 10 1903 (Home, Pro, Pro EDU, Pro for Workstation, IoT Core)
-Windows Server version 1809
-Windows Server version 1903
Все подробности – на нашем портале aka.ms/lifecycle.

Внимание: В сентябре закончилась поддержка Microsoft Office 2010 и Microsoft Exchange 2010. Все, что нужно об этом знать – в нашем блоге.

Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2. Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье. Подробности об окончании поддержки и вариантах миграции на нашем портале.

Возможные проблемы
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.

Дополнительная информация
Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Запись вебинара с разбором этого выпуска
Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

Материал подготовлен  Microsoft