Вторник патчей, январь 2024: Microsoft исправила 49 проблем безопасности, в том числе 12 уязвимостей удаленного выполнения кода

2024-01-09 8815 комментарии
В рамках «Вторника Патчей», 9 января 2024 года, компания Microsoft выпустила исправления против 49 проблем безопасности, включая 12 уязвимостей удаленного выполнения кода

Только две исправленные уязвимости получили наивысший рейтинг опасности — «Критический». Одна из них связана с обходом защитных функций Windows Kerberos, а вторая является уязвимостью удаленного выполнения кода в Hyper-V.

Классификация уязвимостей по типу:

  • 10 уязвимостей повышения привилегий
  • 7 уязвимостей обхода функций безопасности
  • 12 уязвимостей удаленного выполнения кода
  • 11 уязвимостей раскрытия информации
  • 6 уязвимостей отказа в обслуживании
  • 3 уязвимости спуфинга

В общее количество исправленных проблем не входят 4 уязвимости Microsoft Edge, исправленные ранее, 5 января.

Для установки доступны следующие обновления:

Windows

Windows Server

Исправленные уязвимости

Хотя в этом месяце не было активно эксплуатируемых или публично раскрытых уязвимостей, некоторые уязвимости представляют большой интерес.

Microsoft исправила уязвимость удаленного выполнения кода в Office, отслеживаемую как CVE-2024-20677, которая позволяет злоумышленникам создавать вредоносные документы Office со встроенными файлами 3D-модели FBX для удаленного выполнения кода.

В бюллетене по безопасности Microsoft поясняется:

В FBX существует уязвимость безопасности, которая может привести к удаленному выполнению кода. Для снижения рисков эксплуатации возможность вставки файлов FBX отключена в Word, Excel, PowerPoint и Outlook для Windows и Mac.

Версии Office, в которых была включена эта функция, утратят к ней доступ. Речь идет об Office 2019, Office 2021, Office LTSC для Mac 2021 и Microsoft 365.

3D-модели в документах Office, которые ранее были вставлены из файла FBX, будут продолжать работать должным образом, если во время вставки не будет выбран параметр «Ссылка на файл».

Критическая ошибка Windows Kerberos, отслеживаемая как CVE-2024-20674, позволяет злоумышленнику обойти систему аутентификации.

В бюллетени по безопасности сообщается:

Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, организовав атаку «машина посередине» (MITM) или другой метод подмены локальной сети, а затем отправить вредоносное сообщение Kerberos на клиентскую машину-жертву, чтобы выдать себя за сервер аутентификации Kerberos.

Обновления от других компаний

  • Cisco выпустила обновления безопасности для устранения уязвимости повышения привилегий в Cisco Identity Services Engine.
  • Google выпустил обновления безопасности Android за январь 2024 года.
  • Ivanti выпустила обновления безопасности для критической уязвимости удаленного выполнения кода в Endpoint Management (EPM).
  • Новая атака KyberSlash ставит под угрозу многочисленные проекты квантового шифрования.
  • SAP выпустила обновления за январь 2024 года.
© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте