CVE-2019-0541

Microsoft MSHTML

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft MSHTML engine contains an improper input validation vulnerability that allows for remote code execution vulnerability.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2019-0541) в движке MSHTML (Trident) позволяет удаленному злоумышленнику выполнить произвольный код на компьютере жертвы. Для эксплуатации достаточно, чтобы пользователь открыл специально созданный документ Office (например, Word) или веб-страницу, содержащую вредоносный скрипт. Уязвимость связана с неправильной проверкой входных данных при обработке объектов в памяти.

Как исправить

Установите официальный патч от Microsoft. Обновление распространяется через Центр обновления Windows.

  • Для Windows 10 установите накопительное обновление за январь 2019 года или новее. Конкретный номер обновления зависит от вашей версии ОС (например, для 1809 — это KB4480116).
  • Для Windows 8.1 и Windows Server 2012 R2 установите KB4480965.
  • Для Windows 7 и Windows Server 2008 R2 установите KB4480978.

Проверка установки: 1. Откройте Панель управления -> Программы -> Просмотр установленных обновлений. 2. В списке найдите указанный номер KB. Если он присутствует, патч установлен.

Установка вручную (если Центр обновлений отключен): 1. Скачайте пакет обновления с Каталога Центра обновлений Майкрософт (Microsoft Update Catalog) по соответствующему номеру KB. 2. Запустите скачанный файл .msu от имени администратора.

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры для снижения риска:

  1. Ограничение выполнения скриптов в Office:

    • Настройте политики ограниченного использования приложений (AppLocker) или макросов.
    • Включите Блокировку приложений Office (Attack Surface Reduction Rule) через Microsoft Defender Exploit Guard: bash # Пример PowerShell для включения правила (требует Windows 10/11 Enterprise или Education) Set-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled

  2. Настройка WAF/МЭ: Настройте правила в веб-применении (WAF) или межсетевом экране нового поколения (NGFW) на блокировку HTTP/HTTPS-запросов, содержащих известные шаблоны эксплуатации этой уязвимости (сигнатуры должны быть актуальными).

  3. Повышение осведомленности: Предупредите пользователей о запрете открытия документов Office и веб-ссылок из непроверенных источников.

Важно: Временные меры не устраняют уязвимость, а лишь усложняют её эксплуатацию. Установка официального патча обязательна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей