670443
12.10.2021 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 71 уязвимость, в том числе 2 критические и 68 уязвимостей высокого уровня опасности. В числе исправленных ошибок одна уязвимость «нулевого дня», а информация о трёх уязвимостях стала общедоступной до выхода обновления.
Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Office, Microsoft Edge, Microsoft Graphics Component, Microsoft Exchange Server, .NET Core & Visual Studio, Active Directory Federation Services, Visual Studio, Console Window Host, HTTP.sys, Microsoft DWM Core Library, Microsoft Windows Codecs Library.
Уязвимость «нулевого дня» CVE-2021-40449 относится к уязвимостям высокого уровня опасности и затрагивает компонент ядра Win32k. Уязвимость может быть использована для повышения привилегий в уязвимой системе. Её эксплуатация не требует участия пользователя и в сочетании с другими уязвимостями потенциально может привести к получению контроля над целевой системой. Известно, что указанная уязвимость используется в ходе проведения целенаправленных компьютерных атак.
Критическая уязвимость CVE-2021-40486 затрагивает Microsoft Word и допускает выполнение кода при просмотре специально созданного документа Word в уязвимой системе. Особенностью уязвимости является то, что область предварительного просмотра документа также является вектором атаки, что повышает вероятность её успешной эксплуатации.
Две другие критические уязвимости (CVE-2021-38672 иCVE-2021-40461) затрагивают Windows Hyper-V и могут привести к выполнению произвольного кода злоумышленником.
Уязвимостям CVE-2021-41338, CVE-2021-40469 и CVE-2021-41335, информация о которых стала общедоступной до выхода обновлений, присвоен высокий уровень опасности. Они затрагивают Microsoft Windows AppContainer Firewall Rules, Windows DNS Server и ядро системы. Их эксплуатация может позволить злоумышленнику обойти ограничения безопасности, выполнить произвольный код и повысить привилегии.
Другие уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), выполнить произвольный код, провести атаки типа «отказ в обслуживании» и «межсайтовое выполнение сценариев».
Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru