Microsoft устранила 49 уязвимостей в своих продуктах, включая 12 RCE

Microsoft устранила 49 уязвимостей в своих продуктах, включая 12 RCE

Вторник исправлений в январе приготовил для пользователей надежную защиту от взлома систем.

image

Корпорация Microsoft выпустила исправления для 49 уязвимостей, в том числе 12 уязвимостей удаленного выполнения кода, в рамках ежемесячного цикла обновлений Patch Tuesday января 2024 года.

Из всех обновлений только 2 уязвимости получили оценку «критическая»:

  • уязвимость обхода системы безопасности Windows Kerberos ( CVE-2024-20674 с оценкой CVSS: 9.0). Недостаток позволяет киберпреступнику, прошедшему проверку подлинности, организовать атаку «человек посередине» (Man-in-the-Middle, MitM) или другие техники подмены в локальной сети, а затем отправить вредоносное сообщение Kerberos на клиентский компьютер-жертву, чтобы выдать себя за сервер аутентификации Kerberos;
  • уязвимость удаленного выполнения кода (Remote Code Execution, RCE) в Hyper-V ( CVE-2024-20700 с оценкой CVSS: 7.5). Ошибка возникает из-за состояния гонки Race Condition. Отмечается, что эксплуатация уязвимости маловероятна.

Вот распределение обновлений по категориям уязвимостей:

  • 10 уязвимостей повышения привилегий;
  • 7 уязвимостей обхода системы безопасности;
  • 12 уязвимостей удаленного выполнения кода;
  • 11 уязвимостей раскрытия информации;
  • 6 уязвимостей отказа в обслуживании (Denial of Service, DoS);
  • 3 уязвимости спуфинга (спуфинг).

Общее количество исправленных уязвимостей составляет 49, не считая 4 исправленных уязвимостей в Microsoft Edge в начале января.

Кроме того, Microsoft опубликовала статьи с деталями о не связанных с безопасностью обновлениях: кумулятивное обновление Windows 11 KB5034123 и обновление Windows 10 KB5034122.

Среди устраненных уязвимостей особое внимание привлекает ошибка в Office CVE-2024-20677 (оценка CVSS: 7.8), позволяющая злоумышленнику создавать вредоносные документы Office со встроенными 3D-моделями FBX для удаленного выполнения кода. Microsoft отключила возможность вставки файлов FBX в Word, Excel, PowerPoint и Outlook для Windows и Mac. Уязвимость затрагивает Office 2019, Office 2021, Office LTSC для Mac 2021 и Microsoft 365.

Ознакомиться с полным описанием каждой уязвимости и затронутой системой вы можете в специальном отчете на этой странице.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь