Microsoft исправила три уязвимости нулевого дня

Во вторник, 14 апреля, компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, исправляющие 113 уязвимостей, в том числе три уязвимости нулевого дня.

Одной из исправленных уязвимостей нулевого дня является CVE-2020-1020 , о которой SecurityLab сообщал еще в прошлом месяце. Проблема затрагивает библиотеку Adobe Type Manager (atmfd.dll), используемую Windows для обработки шрифтов PostScript Type 1 и позволяет удаленно запускать произвольный код на атакуемой системе и предпринимать действия от имени пользователя. Уязвимости затрагивают все версии Windows (кроме Windows 10) и Windows Server, в том числе более неподдерживаемую Windows 7.

Вторая уязвимость (CVE-2020-0938) также была исправлена в библиотеке Adobe Type Manager. Проблема похожа на CVE-2020-1020, однако о ней стало известно только 14 апреля.

Третьей уязвимостью нулевого дня, исправленной Microsoft в рамках апрельского «второго вторника» является CVE-2020-1027 . Проблема затрагивает ядро Windows и позволяет атакующему повысить свои привилегии и выполнить код с привилегиями ядра.

Все три уязвимости были обнаружены специалистами двух команд безопасности Google – Project Zero и Threat Analysis Group (TAG). По представленному Microsoft описанию невозможно понять, эксплуатировались они одними и теми же киберпреступниками или разными.

Источник: https://www.securitylab.ru/news/506679.php