Только две исправленные уязвимости получили наивысший рейтинг опасности — «Критический». Одна из них связана с обходом защитных функций Windows Kerberos, а вторая является уязвимостью удаленного выполнения кода в Hyper-V.
Классификация уязвимостей по типу:
- 10 уязвимостей повышения привилегий
- 7 уязвимостей обхода функций безопасности
- 12 уязвимостей удаленного выполнения кода
- 11 уязвимостей раскрытия информации
- 6 уязвимостей отказа в обслуживании
- 3 уязвимости спуфинга
В общее количество исправленных проблем не входят 4 уязвимости Microsoft Edge, исправленные ранее, 5 января.
Для установки доступны следующие обновления:
Windows
- Обновление KB5034123 (Build 22631.3007) для Windows 11, версия 23H2
- Обновление KB5034123 (Build 22621.3007) для Windows 11, версия 22H2
- Обновление KB5034121 (Build 22000.2713) для Windows 11, версия 21H2
- Обновление KB5034122 (Build 19045.3930) для Windows 10, версия 22H2
- Обновление безопасности KB5034441 для Windows 10, версии 22H2 и 21H2 устраняет обход защиты BitLocker (CVE-2024-20666)
Windows Server
- Обновление KB5034129 (OS Build 20348.2227) для Windows Server 2022 (21H2 LTSC)
- Обновление KB5034127 (OS Build 17763.5329) для Windows Server 2019 (1809 LTSC)
- Обновление KB5034119 (OS Build 14393.6614) для Windows Server 2016 (1607 LTSC)
Исправленные уязвимости
Хотя в этом месяце не было активно эксплуатируемых или публично раскрытых уязвимостей, некоторые уязвимости представляют большой интерес.
Microsoft исправила уязвимость удаленного выполнения кода в Office, отслеживаемую как CVE-2024-20677, которая позволяет злоумышленникам создавать вредоносные документы Office со встроенными файлами 3D-модели FBX для удаленного выполнения кода.
В бюллетене по безопасности Microsoft поясняется:
В FBX существует уязвимость безопасности, которая может привести к удаленному выполнению кода. Для снижения рисков эксплуатации возможность вставки файлов FBX отключена в Word, Excel, PowerPoint и Outlook для Windows и Mac.
Версии Office, в которых была включена эта функция, утратят к ней доступ. Речь идет об Office 2019, Office 2021, Office LTSC для Mac 2021 и Microsoft 365.
3D-модели в документах Office, которые ранее были вставлены из файла FBX, будут продолжать работать должным образом, если во время вставки не будет выбран параметр «Ссылка на файл».
Критическая ошибка Windows Kerberos, отслеживаемая как CVE-2024-20674, позволяет злоумышленнику обойти систему аутентификации.
В бюллетени по безопасности сообщается:
Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, организовав атаку «машина посередине» (MITM) или другой метод подмены локальной сети, а затем отправить вредоносное сообщение Kerberos на клиентскую машину-жертву, чтобы выдать себя за сервер аутентификации Kerberos.
Обновления от других компаний
- Cisco выпустила обновления безопасности для устранения уязвимости повышения привилегий в Cisco Identity Services Engine.
- Google выпустил обновления безопасности Android за январь 2024 года.
- Ivanti выпустила обновления безопасности для критической уязвимости удаленного выполнения кода в Endpoint Management (EPM).
- Новая атака KyberSlash ставит под угрозу многочисленные проекты квантового шифрования.
- SAP выпустила обновления за январь 2024 года.
Последние статьи #Windows
• Microsoft PowerToys 0.92: улучшение производительности, тест скорости и исправление проблем с браузером в Windows 11, версия 24H2
• Windows 11 резко увеличила долю рынка и догнала Windows 10
• Microsoft объяснила «пропажу» 400 миллионов устройств Windows: это была ошибка формулировки
• Windows 11 получит улучшенную поддержку ключей доступа благодаря 1Password
• Эксперт: Microsoft могла потерять 400 миллионов пользователей Windows за три года
• Windows 11 версии 25H2: Всё, что известно о следующем обновлении ОС от Microsoft