Firma Microsoft udostępniła łącznie 120 poprawek błędów w ramach wtorkowej aktualizacji z sierpnia 2020 r., w tym poprawki dwóch usterek typu zero-day.
Luki usunięte w najnowszym zestawie poprawek dotyczyły 13 różnych produktów, w tym Windows, Edge, Office, Internet Explorer i innych.
Według Common Vulnerability Scoring System (CVSS), 17 luk uzyskało maksymalną ocenę ważności 10/10, natomiast dwie zostały sklasyfikowane jako luki typu zero-day, co oznacza, że hakerzy byli w stanie wykorzystać błędy wcześniej niż Microsoft. może administrować łatką.
Duża liczba luk załatanych podczas wtorkowej aktualizacji z sierpnia 2020 r. sprawia, że jest to trzecia co do wielkości luka w historii, za jedynie czerwcem 2020 r. (126 luk) i lipcem 2020 r. (123 luki).
Aktualizacja Microsoftu z sierpnia 2020 r. Mars
Pierwszym z dwóch dni zerowych naprawionych przez Microsoft jest luka w zabezpieczeniach systemu operacyjnego Windows umożliwiająca kradzież tożsamości, która może zostać wykorzystana do „ominięcia funkcji zabezpieczeń i przesyłania niepodpisanych plików”.
„W scenariuszu ataku osoba atakująca może ominąć funkcje bezpieczeństwa zaprojektowane w celu zapobiegania przesyłaniu słabo podpisanych plików. Aktualizacja naprawia lukę, poprawiając sposób, w jaki system Windows sprawdza poprawność podpisów plików” – wyjaśnił Microsoft.
Drugi dzień zerowy wystąpił w przeglądarce Internet Explorer 11 i został opisany przez giganta z Redmond jako „krytyczny”.
Ujawniony przez firmę Kaspersky zajmującą się bezpieczeństwem błąd został znaleziony w silniku skryptowym przeglądarki i mógł zostać wykorzystany do zdalnego wykonania kodu na urządzeniu docelowym.
„Luka może spowodować uszkodzenie pamięci, w związku z czym osoba atakująca będzie mogła wykonać dowolny kod w kontekście bieżącego użytkownika. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same prawa, jak bieżący użytkownik” – czytamy w raporcie na temat luki.
Może to być szczególnie problematyczne, jeśli osoba atakująca zaatakuje użytkownika z uprawnieniami administracyjnymi, umożliwiając mu instalację oprogramowania, modyfikację lub usunięcie danych oraz utworzenie nowych kont z pełnymi uprawnieniami dostępu.
Aby złagodzić luki w zabezpieczeniach typu Zero Day, a także 118 innych naprawionych do wtorkowej aktualizacji z sierpnia 2020 r., użytkownikom zaleca się aktualizację do najnowszych wersji wszystkich produktów Microsoft.
Pełna lista naprawionych luk jest dostępna tutaj.