Новости Microsoft устранила 49 уязвимостей в своих продуктах, включая 12 RCE

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Вторник исправлений в январе приготовил для пользователей надежную защиту от взлома систем.


2x6782y0dn0atecyyp3z5dpqi1p8o4lg.jpg


Корпорация Microsoft выпустила исправления для 49 уязвимостей, в том числе 12 уязвимостей удаленного выполнения кода, в рамках ежемесячного цикла обновлений Patch Tuesday января 2024 года.

Из всех обновлений только 2 уязвимости получили оценку «критическая»:

  • уязвимость обхода системы безопасности Windows Kerberos ( Для просмотра ссылки Войди или Зарегистрируйся с оценкой CVSS: 9.0). Недостаток позволяет киберпреступнику, прошедшему проверку подлинности, организовать атаку «человек посередине» (Man-in-the-Middle, MitM ) или другие техники подмены в локальной сети, а затем отправить вредоносное сообщение Kerberos на клиентский компьютер-жертву, чтобы выдать себя за сервер аутентификации Kerberos;
  • уязвимость удаленного выполнения кода (Remote Code Execution, RCE) в Hyper-V ( Для просмотра ссылки Войди или Зарегистрируйся с оценкой CVSS: 7.5). Ошибка возникает из-за состояния гонки Race Condition. Отмечается, что эксплуатация уязвимости маловероятна.

Вот распределение обновлений по категориям уязвимостей:

  • 10 уязвимостей повышения привилегий;
  • 7 уязвимостей обхода системы безопасности;
  • 12 уязвимостей удаленного выполнения кода;
  • 11 уязвимостей раскрытия информации;
  • 6 уязвимостей отказа в обслуживании (Denial of Service, DoS );
  • 3 уязвимости спуфинга (спуфинг).
Общее количество исправленных уязвимостей составляет 49, не считая 4 исправленных уязвимостей в Microsoft Edge в начале января.

Кроме того, Microsoft опубликовала статьи с деталями о не связанных с безопасностью обновлениях: кумулятивное обновление Для просмотра ссылки Войди или Зарегистрируйся и обновление Для просмотра ссылки Войди или Зарегистрируйся

Среди устраненных уязвимостей особое внимание привлекает ошибка в Office Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.8), позволяющая злоумышленнику создавать вредоносные документы Office со встроенными 3D-моделями FBX для удаленного выполнения кода. Microsoft отключила возможность вставки файлов FBX в Word, Excel, PowerPoint и Outlook для Windows и Mac. Уязвимость затрагивает Office 2019, Office 2021, Office LTSC для Mac 2021 и Microsoft 365.

Ознакомиться с полным описанием каждой уязвимости и затронутой системой вы можете в специальном отчете Для просмотра ссылки Войди или Зарегистрируйся странице.
 
Источник новости
www.securitylab.ru

Похожие темы