Набор августовских обновлений от компании Microsoft содержал исправления для Microsoft Windows, Edge Browser, Internet Explorer, Office, ChakraCore, .NET Framework, Exchange Server, Microsoft SQL Server. Всего пакет исправлений содержит порядка 60 исправлений, 19 из них были классифицированы как критические, а также исправляет две уязвимости нулевого дня, которые были уже обнародованы ранее - CVE-2018-8414 и CVE-2018-8373.

Проблему CVE-2018-8414 специалисты Microsoft характеризуют как уязвимость в Windows Shell. Однако, в сущности, она связана с файлами SettingContent-ms, которые вошли в обращение после релиза Windows 10. Они позволяют создавать ярлыки для страниц настроек, пришедших на смену классической "Панели управления".

Файлы SettingContent-ms могут представлять угрозу безопасности пользователей и использоваться для исполнения вредоносного кода. В результате, в июле 2018 года, Microsoft уже запретила встраивать файлы SettingContent-ms в документы Outlook и Office 365.

Августовское обновление, похоже, закрывает эту брешь окончательно. Разработчики позаботились о том, чтобы Windows Shell осуществляла необходимую валидацию файловых путей и исполняла SettingContent-ms лишь после этого, что призвано помешать вредоносной эксплуатации файлов ярлыков.

Вторая уязвимость нулевого дня, CVE-2018-8373, описывается как удаленное исполнение произвольного кода, связанное с тем, как скриптовый движок Internet Explorer обрабатывает объекты в памяти. Использование данной проблемы позволяет атакующему выполнить код с привилегиями текущего пользователя. Если это будет администратор, система окажется полностью скомпрометирована.

Хуже того, эксплуатировать этот баг можно и через интернет: достаточно открыть в Internet Explorer вредоносный сайт или вредоносное почтовое вложение.

CVE-2018-8373 была обнаружена исследователем Эллиотом Цао (Elliot Cao). По данным Microsoft, информация об этой проблеме была опубликована в сети до выхода патча, и уязвимость может эксплуатироваться злоумышленниками.