Категория > Новости > Microsoft патчит 34 уязвимости в своих продуктах - «Новости»

Microsoft патчит 34 уязвимости в своих продуктах - «Новости»


15-12-2023, 00:00. Автор: Демьян

На этой неделе Microsoft выпустила декабрьский набор патчей, которые устранили 34 уязвимости в продуктах компании (не считая восьми ошибок в Microsoft Edge, устраненных ранее). Среди исправленных багов была одна 0-day уязвимость: ранее раскрытая, но неисправленная проблема в процессорах AMD.


Суммарно в этом месяце было исправлено сразу восемь уязвимостей удаленного выполнения кода (RCE), однако Microsoft оценила только три из них как критические. В общей сложности было выявлено четыре критических уязвимости: одна в Power Platform (спуфинг), две в Internet Connection Sharing (RCE) и еще одна в Windows MSHTML (RCE).


Единственной 0-day проблемой декабря стала уязвимость CVE-2023-20588, связанная с процессорами AMD. Это division-by-zero баг, который может вести к раскрытию  конфиденциальных данных.


Уязвимость была раскрыта еще в августе 2023 года, но тогда AMD не предоставила каких-либо патчей для нее, лишь дала ряд рекомендаций по защите от проблемы.


«В случае затронутых продуктов AMD рекомендуется следовать передовым методам разработки программного обеспечения, — гласил бюллетень безопасности AMD, посвященный CVE-2023-20588. — Разработчики могут смягчить эту проблему, убедившись, что никакие привилегированные данные не используются в division-операциях до изменения привилегированных границ. AMD считает, что потенциальное влияние этой уязвимости невелико, поскольку она требует локального доступа».


Читайте также - Официальный сайт Gizbo Сasino - это лицензионные игровые автоматы, слоты, ставки на спорт, а также выгодные предложения. Начинай играть в игровые автоматы на лучших официальных casino online с бонусом.

Также стоит отметить, что специалисты Trend Micro Zero Day Initiative (ZDI), которые традиционно опубликовали разбор вышедших на этой неделе патчей, рекомендуют обратить особое внимание на критическую проблему CVE-2023-36019, связанную со спуфингом в Microsoft Power Platform Connector.  Проблема получила 9,6 балла из 10 возможных по шкале CVSS и может эксплуатироваться через специально созданные URL-адреса.


«Атакующий может манипулировать вредоносной ссылкой, приложением или файлом, маскируя их под легитимные ссылки или файлы, чтобы обмануть жертву. Хотя уязвимость кроется в веб-сервере, вредоносные скрипты выполняются в браузере жертвы, на ее компьютере», — сообщает бюллетень Microsoft, посвященный CVE-2023-36019.


Также отдельного внимания заслуживает проблема удаленного выполнения кода в Windows MSHTML Platform (CVE-2023-35628). В компании предупреждают, что злоумышленник может отправить жертве специально подготовленное письмо, которое сработает автоматически, когда его получит и обработает клиент Outlook.


«Это может привести к эксплуатации уязвимости еще до того, как письмо будет открыто в панели предварительного просмотра», — предупреждают в Microsoft.


То есть злоумышленник может отправить специально подготовленное письмо своей цели, и жертве даже не потребуется открывать его, читать или нажимать на какие-то ссылки. А злоумышленник все равно сможет удаленно выполнить произвольный код.


Помимо компании Microsoft обновления для своих продуктов традиционно выпустили и другие компании, в числе которых:



  • Atlassian выпустила обновления для четырех критических RCE-уязвимостей в Confluence, Jira и Bitbucket;

  • Apple портировала патчи для недавно обнаруженных 0-day на старые модели iPhone и некоторые модели Apple Watch и Apple TV;

  • Cisco устранила уязвимости в Cisco ASA и Firepower, допускающие спуфинг IP-адресов;

  • Google выпустила декабрьские обновления безопасности для Android, которые включают исправление для критической проблемы нулевого дня;

  • SAP представила декабрьский набор патчей;

  • VMware исправила критический баг обхода аутентификации в Cloud Director.


Перейти обратно к новости