Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

14.12.2021 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 67 уязвимостей, в том числе 7 критических и 60 уязвимостей высокого уровня опасности. В числе исправленных ошибок есть уязвимость «нулевого дня», а информация о пяти уязвимостях стала общедоступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Windows Hyper-V, Windows Mobile Device Management, Azure Bot Framework SDK, Remote Desktop Client, Microsoft Defender for IoT, Office Developer Platform, Microsoft Office, ASP.NET Core & Visual Studio, Visual Studio Code и др.

Уязвимость «нулевого дня» CVE-2021-43890 относится к уязвимостям высокого уровня опасности и затрагивает установщик приложений Windows AppX Installer. Сценарий эксплуатации уязвимости предполагает, что злоумышленник направит пользователю специально сформированное фишинговое письмо и убедит открыть его. В результате злоумышленник может удаленного выполнить код с правами текущего пользователя. Объединив эту уязвимость с другой, злоумышленник сможет попытаться получить полный контроль над целевой системой. По данным компании Microsoft, указанная уязвимость применяется в ходе проведения компьютерных атак с использованием вредоносной программы Emotet.

Среди критических уязвимостей, исправленных в этом месяце, трём присвоен наиболее высокий уровень опасности по шкале CVSS версии 3.0 – 9.8. Это уязвимости CVE-2021-43215, CVE-2021-43899 и CVE-2021-43907. Ошибка CVE-2021-43215 затрагивает сервер Internet Storage Name Service (iSNS) и может позволить злоумышленнику удалённо выполнить код посредством отправки на уязвимый сервер специально созданного запроса.

Уязвимость CVE-2021-43899 затрагивает Microsoft 4K Wireless Display Adapter и может позволить злоумышленнику, не прошедшему процедуру аутентификации, удалённо выполнить произвольный код на уязвимом устройстве. Злоумышленник должен находиться в той же сети, что и Microsoft 4K Wireless Display Adapter. Для защиты от уязвимости пользователям необходимо установить приложение Microsoft Wireless Display Adapter из магазина приложений Microsoft Store в систему, подключенную к Microsoft 4K Wireless Display Adapter. После этого необходимо из раздела приложения «Обновление и безопасность» загрузить последнюю версию прошивки, устраняющую указанную ошибку.

Третья критическая уязвимость с уровнем опасности 9.8 (CVE-2021-43907) затрагивает расширение Visual Studio Code Windows для Linux (WSL). Её эксплуатация не требует аутентификации злоумышленника в системе, взаимодействия с пользователем и может привести к выполнению произвольного кода.

Другие критические уязвимости (CVE-2021-43905, CVE-2021-42310, CVE-2021-43217, CVE-2021-43233) затрагивают Microsoft Office, Microsoft Defender for IoT, Windows Encrypting File System (EFS) и Remote Desktop Client. Все они могут привести к удалённому выполнению кода.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), осуществить атаку типа «отказ в обслуживании».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.