699792
Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Exchange Server, ASP.NET Core, Visual Studio, Azure, Microsoft Dynamics, Skype for Business и др.
В этом месяце среди исправленных ошибок – три уязвимости «нулевого дня». В их числе две уязвимости, информация о которых стала общедоступной до выхода обновлений.
Уязвимостям «нулевого дня» присвоен высокий рейтинг опасности. Той, что имеет наибольший рейтинг опасности (8.8 по шкале CVSS), присвоен идентификатор CVE-2023-44487. Она получила название HTTP/2 Rapid Reset, т.к. затрагивает протокол HTTP/2, и связана с проведением атак типа «отказ в обслуживании (DoS-атак) высокой интенсивности. Уязвимости подвержены различные продукты Microsoft.
Вторая уязвимость «нулевого дня» (CVE-2023-36563) затрагивает Microsoft WordPad. Её эксплуатация может позволить злоумышленнику раскрыть информацию.
Третья уязвимость «нулевого дня» (CVE-2023-41763) затрагивает Skype for Business и связана с несанкционированным повышением привилегий.
В этом месяце исправлено 20 уязвимостей в службе очереди сообщений Microsoft Message Queuing (MSMQ). Среди них есть критическая (CVE-2023-35349) с максимальным в этом месяце рейтингом опасности 9.8 по шкале CVSS. Её эксплуатация может позволить удалённому злоумышленнику, не прошедшему процедуру аутентификации, выполнить произвольный код на уровне службы без взаимодействия с пользователем. Для минимизации риска специалисты компании рекомендуют проверить свои системы на наличие службы Message Queuing, а также рассмотреть возможность блокировки TCP-порта 1801.
Другая уязвимость с рейтингом 9.8 затрагивает набор серверов Windows IIS Server. Она связана с несанкционированным повышением привилегий и позволяет злоумышленнику войти на целевой сервер IIS под видом другого пользователя. Для её эксплуатации требуется осуществить атаку методом перебора паролей, именно с этим связан тот факт, что уязвимости присвоен высокий, а не критический рейтинг опасности.
Девять критических уязвимостей с рейтингом опасности 8.1 по шкале CVSS исправлены в протоколе туннелирования второго уровня (Layer 2 Tunneling Protocol). Все они могут позволить злоумышленнику удалённо выполнить произвольный код.
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, осуществить атаки типов «отказ в обслуживании» (DDoS-атака) и «межсайтовое выполнение сценариев» (XSS-атака).
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
