Компанія Microsoft почала поширення чергового оновлення безпеки, яке було випущено сьогодні в рамках програми Patch Tuesday. Листопадовий патч безпеки виправляє 112 вразливостей в широкому спектрі продуктів Microsoft, починаючи від браузера Edge і закінчуючи службою Windows WalletService. Однією з головних проблем, які вирішує листопадовий патч безпеки, є zero-day CVE-2020-17087, яка пов’язана з роботою однієї з функцій Windows Kernel Cryptography Driver (cng.sys) і відноситься до категорії багів переповнення буфера. Згідно з наявними даними, проблема зачіпає всі підтримувані версії програмної платформи Windows 10. Уразливість також присутній в Windows 7 і підтримуваних версіях Windows Server.
Zero-day в Windows була розкрита кілька днів тому фахівцями Google Project Zero. Вона експлуатується разом з вразливістю браузера Chrome. Фахівці повідомили, що уразливість в Chrome дозволяє здійснити віддалене виконання коду в браузері, тоді як баг Windows робить можливим вихід за межі пісочниці Chrome і робить можливим виконання коду на рівні системи. Уразливість в Chrome вже була усунена разом з оновленням браузера, а випущений сьогодні патч виправить помилку в Windows. Варто відзначити, що згадана вразливість активно використовувалася хакерами на практиці, тому не варто затягувати з установкою оновлення.
Крім цього, листопадовий патч безпеки усуває ще 111 вразливостей в різних продуктах Microsoft, в тому числі 24 уразливості, пов’язані з віддаленим виконанням коду. Небезпечні вразливості зачіпають різні програмні продукти, в тому числі Excel, SharePoint, Exchange Server і ін.