Вторник патчей, март 2024: Microsoft исправила 60 проблем безопасности, включая 18 уязвимостей удаленного выполнения кода

2024-03-12 6746 комментарии
В рамках «Вторника Патчей», 12 марта 2024 года, компания Microsoft выпустила исправления против 60 проблем безопасности, включая 18 уязвимостей удаленного выполнения кода

Две исправленные уязвимости получили наивысший рейтинг опасности — «Критический». Они связаны с отказом в обслуживании и удалённым выполнением кода в системе виртуализации Hyper-V.

Классификация уязвимостей по типу:

  • 24 уязвимостей повышения привилегий
  • 3 уязвимости обхода функций безопасности
  • 18 уязвимостей удаленного выполнения кода
  • 6 уязвимостей раскрытия информации
  • 6 уязвимостей отказа в обслуживании
  • 2 уязвимости спуфинга

В общее количество исправленных проблем не входят 4 уязвимости Microsoft Edge, исправленных 7 марта.

В этот раз Microsoft не сообщает об исправлении уязвимостей «нулевого дня».

Для установки доступны следующие обновления:

Windows

Windows Server

Уязвимости, заслуживающие внимания

В этом месяце Microsoft исправила несколько проблем безопасности, которые представляют особый интерес:

  • CVE-2024-26199 - уязвимость повышения привилегий в Microsoft Office

Microsoft исправила уязвимость в Microsoft Office, позволяющую любому пользователю, прошедшему аутентификацию, получить привилегии SYSTEM.

В бюллетени по безопасности сообщается:

Любой аутентифицированный пользователь может запустить эту уязвимость. Для этого не требуются права администратора или другие повышенные привилегии

  • CVE-2024-20671 - уязвимость обхода защитных функций Microsoft Defender

Компания Microsoft устранила уязвимость в Microsoft Defender, которая может привести к блокировке запуска антивирусной программы.

Компания поясняет:

Аутентифицированный злоумышленник, успешно использовавший эту уязвимость, мог предотвратить запуск Microsoft Defender.

Проблема будет устранена с помощью обновлений (Windows Defender Antimalware Platform), которые автоматически устанавливаются на устройства под управлением Windows.

Этот недостаток исправлен в версии клиента антивредоносной программы 4.18.24010.12.

  • CVE-2024-21411 - уязвимость удаленного выполнения кода в потребительской версии Skype

Компания Microsoft устранила уязвимость удаленного выполнения кода в Skype for Consumer, которая может быть спровоцирована вредоносной ссылкой или изображением.

В бюллетени по безопасности поясняется:

Злоумышленник может воспользоваться уязвимостью, отправив пользователю вредоносную ссылку или вредоносное изображение через мессенджер, а затем убедив его щелкнуть по ссылке или изображению.

Обновления от других компаний

  • Компания AnyCubic выпустила новую прошивку для Kobra 2, с исправлением уязвимости «нулевого дня».
  • Apple выпустила обновления безопасности для устранения двух уязвимостей «нулевого дня» в iOS.
  • Cisco выпустила обновления безопасности для нескольких продуктов.
  • Fortinet выпустила обновления безопасности для FortiOS и FortiProxy.
  • Google выпустила мартовские обновления безопасности для Android.
  • Корпорация Intel сообщила о новой уязвимости в микроархитектуре Register File Data Sampling (RFDS).
  • Компания QNAP выпустила обновления безопасности для обхода аутентификации в QTS, QuTS hero, QuTScloud и myQNAPcloud.
  • Компания SAP выпустила обновления безопасности за март 2024 года.
  • Компания VMware выпустила обновления безопасности, устраняющие критические уязвимости выхода из песочницы в VMware ESXi, Workstation, Fusion и Cloud Foundation.
© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте