Вторник патчей, декабрь 2023: Microsoft исправила 34 проблемы безопасности, в том числе одну уязвимость нулевого дня

2023-12-12 7349 комментарии
В рамках «Вторника Патчей», 12 декабря 2023 года, компания Microsoft выпустила исправления против 34 проблем безопасности, включая одну публично раскрытую уязвимость процессоров AMD

Только три из восьми исправленных уязвимостей удаленного выполнения кода получили наивысший рейтинг опасности — «Критический». Всего было обнаружено четыре критических уязвимости: одна в Power Platform (спуфинг), две в Internet Connection Sharing (удаленное выполнение кода) и одна в Windows MSHTML Platform (удаленное выполнение кода).

Классификация уязвимостей по типу:

  • 10 уязвимостей повышения привилегий
  • 8 уязвимостей удаленного выполнения кода
  • 6 уязвимостей раскрытия информации
  • 5 уязвимостей отказа в обслуживании

В общее количество исправленных проблем не входят 8 уязвимостей Microsoft Edge, исправленные ранее, 7 декабря.

Для установки доступны следующие обновления:

Windows

Windows Server

Исправлена одна уязвимость нулевого дня

В рамках текущего выпуска «Вторника Патчей» была исправлена одна единственная уязвимость нулевого дня. Это публично раскрытая еще в августе уязвимость процессоров AMD.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Исправлена следующая уязвимость нулевого дня:

  • CVE-2023-20588 — уязвимость, связанная с ошибкой деления на ноль в определенных процессорах AMD, которая работают с конфиденциальными данными.

Уязвимость была раскрыта в августе 2023 года, при этом AMD не предоставила никаких исправлений, кроме рекомендаций по устранению.

В бюллетене по безопасности сообщается:

Для затронутых продуктов AMD рекомендует следовать лучшим практикам разработки программного обеспечения.

Разработчики могут смягчить эту проблему, убедившись, что привилегированные данные не используются в операциях разделения до изменения границ привилегий.

Согласно AMD, потенциальное влияние этой уязвимости невелико, поскольку она требует локального доступа.

Обновления от других компаний

  • Атака 5Ghoul может вызвать перебои в обслуживании телефонов 5G с чипами Qualcomm, MediaTek
  • Компания Atlassian выпустила обновления безопасности для четырех критических уязвимостей удаленного выполнения кода в Confluence, Jira и Bitbucket.
  • Apple предложила патчи против последних уязвимостей нулевого дня для старых моделей iPhone и некоторых моделей Apple Watch и Apple TV.
  • Cisco выпустила обновления безопасности для уязвимостей Cisco ASA и Firepower, позволяющих подменять IP-адреса.
  • Google выпустила обновления безопасности для Android за декабрь 2023 года.
  • Компания SAP выпустила декабрьские обновления безопасности.
  • Компания Sierra Wireless выпустила рекомендации по безопасности для 21 уязвимости, затрагивающих OT/IoT-маршрутизаторы Sierra.
  • Атака побочного канала SLAM позволяет похитить конфиденциальные данные из новейших процессоров Intel, AMD и Arm.
  • Компания VMware устранила критическую уязвимость, позволяющую обойти аутентификацию в Cloud Director.
  • В WordPress исправлена цепочка POP, которая могла привести к атакам удаленного выполнения кода.
© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте