Microsoft выпустила плановый пакет обновлений безопасности, исправляющий в общей сложности 62 уязвимости в различных продуктах производителя (ОС Windows, Office, Edge, Internet Explorer и пр.), в том числе более двух десятков критических и проблему повышения привилегий (CVE-2018-8589) в компоненте Windows Win32k, активно эксплуатируемую киберпреступниками. Однако уязвимость в службе Microsoft Data Sharing, PoC-код для эксплуатации которой был опубликован в минувшем октябре, пока остается неисправленной.

Из 24 критических уязвимостей 8 содержатся в скриптовом движке Chakra в составе браузера Microsoft Edge. Каждая из них позволяет удаленное выполнение кода, что предоставляет злоумышленнику возможность загрузить вредоносное ПО или выполнять различные действия на системе с правами текущего пользователя.

Еще несколько критических уязвимостей были исправлены в протоколе Trivial File Transfer Protocol (CVE-2018-8476), графическом компоненте в Windows (CVE-2018-8553), платформе бизнес-приложений Dynamics 365 (CVE-2018-8609), в движке Windows VBScript (CVE-2018-8584), в Word (CVE-2018-8539, CVE-2018-8573), а также две проблемы в PowerShell (CVE-2018-8256, CVE-2018-8415).

Также были устранены четыре XSS-уязвимости в Dynamics 365 (CVE-2018-8605, CVE-2018-8606, CVE-2018-8607, CVE-2018-8608), а также проблема обхода шифрования (CVE-2018-8566) в BitLocker.