Microsoft исправила уязвимость 0-day в IE в рамках мартовских обновлений безопасности

Во вторник, 9 марта, компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов. Обновления содержат исправления для 82 уязвимостей – 10 критических и 72 опасных. Сюда не входят патчи для 7 уязвимостей в Microsoft Exchange и 33 уязвимостей в Chromium Edge, выпущенные ранее в этом месяце.

В частности, мартовские обновления исправляют уязвимость нулевого дня, уже использующуюся в атаках. Еще в январе 2021 года компания Google сообщила , что киберпреступная группировка Lazarus атакует исследователей безопасности через взломанные установки Visual Studio и неизвестные уязвимости. Как выяснили через месяц специалисты южнокорейской ИБ-компании Enki, злоумышленники эксплуатировали уязвимость нулевого дня в Internet Explorer для установки бэкдоров. Данная уязвимость повреждения памяти ( CVE-2021-26411 ) была исправлена 9 марта.

Мартовские обновления также исправляют уязвимость повышения привилегий в Windows Win32k ( CVE-2021-27077 ). Эта уязвимость была публично раскрыта исследователями из Trend Micro Zero Day Initiative в январе нынешнего года после того, как Microsoft заявила, что не намерена ее исправлять.

Остальные уязвимости были исправлены в компонентах Microsoft Windows, а также в Azure, Azure DevOps и Azure Sphere, Internet Explorer и Edge (EdgeHTML), Exchange Server, Office (сервисах и web-приложениях), SharePoint Server, Visual Studio и Windows Hyper-V.