Microsoft устранила 49 уязвимостей в своих продуктах, включая 12 RCE

patch tuesday вторник исправлений Microsoft Windows Kerberos RCE DoS спуфинг MITM
Microsoft устранила 49 уязвимостей в своих продуктах, включая 12 RCE
patch tuesday вторник исправлений Microsoft Windows Kerberos RCE DoS спуфинг MITM

Вторник исправлений в январе приготовил для пользователей надежную защиту от взлома систем.

image

Корпорация Microsoft выпустила исправления для 49 уязвимостей, в том числе 12 уязвимостей удаленного выполнения кода, в рамках ежемесячного цикла обновлений Patch Tuesday января 2024 года.

Из всех обновлений только 2 уязвимости получили оценку «критическая»:

  • уязвимость обхода системы безопасности Windows Kerberos ( CVE-2024-20674 с оценкой CVSS: 9.0). Недостаток позволяет киберпреступнику, прошедшему проверку подлинности, организовать атаку «человек посередине» (Man-in-the-Middle, MitM) или другие техники подмены в локальной сети, а затем отправить вредоносное сообщение Kerberos на клиентский компьютер-жертву, чтобы выдать себя за сервер аутентификации Kerberos;
  • уязвимость удаленного выполнения кода (Remote Code Execution, RCE) в Hyper-V ( CVE-2024-20700 с оценкой CVSS: 7.5). Ошибка возникает из-за состояния гонки Race Condition. Отмечается, что эксплуатация уязвимости маловероятна.

Вот распределение обновлений по категориям уязвимостей:

  • 10 уязвимостей повышения привилегий;
  • 7 уязвимостей обхода системы безопасности;
  • 12 уязвимостей удаленного выполнения кода;
  • 11 уязвимостей раскрытия информации;
  • 6 уязвимостей отказа в обслуживании (Denial of Service, DoS);
  • 3 уязвимости спуфинга (спуфинг).

Общее количество исправленных уязвимостей составляет 49, не считая 4 исправленных уязвимостей в Microsoft Edge в начале января.

Кроме того, Microsoft опубликовала статьи с деталями о не связанных с безопасностью обновлениях: кумулятивное обновление Windows 11 KB5034123 и обновление Windows 10 KB5034122.

Среди устраненных уязвимостей особое внимание привлекает ошибка в Office CVE-2024-20677 (оценка CVSS: 7.8), позволяющая злоумышленнику создавать вредоносные документы Office со встроенными 3D-моделями FBX для удаленного выполнения кода. Microsoft отключила возможность вставки файлов FBX в Word, Excel, PowerPoint и Outlook для Windows и Mac. Уязвимость затрагивает Office 2019, Office 2021, Office LTSC для Mac 2021 и Microsoft 365.

Ознакомиться с полным описанием каждой уязвимости и затронутой системой вы можете в специальном отчете на этой странице.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

Исходный код MS-DOS 4.0 опубликовали на GitHub

Кофейная ловушка: уязвимость домена Nespresso привела к всплеску фишинговых атак

MagicDot: давняя проблема Windows наделяет хакеров руткит-полномочиями

Что страшнее: бан или потеря данных? Вирус «Cheat Lab» атакует геймеров

Fedora Linux 40: что нового?

Microsoft не смогла изъять свою новую модель WizardLM 2 из публичного доступа

85% рынка в руках Microsoft: как корпорация стала главной опасностью для США

APT29 атакует пользователей Windows через лазейку в Диспетчере очереди печати

Phi-3: как маленькая, но мощная ИИ-модель от Microsoft преобразует бизнес