Компания Microsoft выпустила плановый пакет обновлений безопасности, устраняющих в общей сложности 120 уязвимостей в 13 продуктах, в том числе две уязвимости нулевого дня в Windows (CVE-2020-1464) и браузере Internet Explorer 11 (CVE-2020-1380).

Уязвимость CVE-2020-1464 затрагивает версии Windows 7, Windows 8.1, Windows 10, а также Windows Server 2008, 2012, 2016, 2019. Из-за некорректной работы механизма проверки подписи файлов, атакующий может обойти функции безопасности и загрузить некорректно подписанные файлы.

CVE-2020-1380 представляет собой уязвимость удаленного выполнения кода в скриптинговом движке, поставляемом в составе браузера Internet Explorer. Уязвимость связана с тем, как движок обрабатывает объекты в памяти. Успешная атака позволит злоумышленнику получить те же привилегии на системе, что и текущий пользователь (в частности права администратора) и скомпрометировать систему.

Для эксплуатации уязвимости атакующему потребуется создать вредоносный сайт и заманить на него жертву. Отмечается, что данная уязвимость затрагивает не только Internet Explorer, но и другие приложения Microsoft, в частности, пакет Office.

Традиционно Microsoft не раскрыла информацию о фактах эксплуатации исправленных уязвимостей, но эксперты по информационной безопасности отмечают, что уязвимость нулевого дня в Internet Explorer с большой вероятностью уже использовались кибер-группировками в сложных многоступенчатых атаках для повышения привилегий в Windows. Поэтому крайне важно не откладывать установку выпущенных обновлений для закрытия выявленных проблем.