Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

11.01.2022 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 122 уязвимости, в том числе 9 критических и 89 уязвимостей высокого уровня опасности. В числе исправленных ошибок отсутствуют уязвимости «нулевого дня». Информация о шести уязвимостях стала общедоступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Windows Hyper-V, .NET Framework, Microsoft Dynamics, Microsoft Edge, Microsoft Exchange Server, Microsoft Graphics Component, Microsoft Office, Microsoft Teams, Microsoft Windows Codecs Library.

Среди критических уязвимостей, исправленных в этом месяце, одной присвоен наиболее высокий уровень опасности по шкале CVSS версии 3.0 – 9.8. Это уязвимость CVE-2022-21907, которая затрагивает стек HTTP-протокола (HTTP Protocol Stack) и может позволить злоумышленнику удалённо выполнить код посредством отправки на уязвимый сервер специально созданных пакетов. Для эксплуатации уязвимости не требуется никаких действий со стороны пользователя, поэтому рекомендуется как можно скорее применить доступные обновления, устраняющие эту уязвимость.

Критическая уязвимость CVE-2022-21846 затрагивает Microsoft Exchange Server и может позволить злоумышленнику, имеющему доступ в смежные сети, выполнить произвольный код.

Критическая уязвимость CVE-2022-21840 затрагивает Microsoft Office и может привести к удаленному выполнению кода злоумышленником. Эксплуатация уязвимости требует открытия пользователем специально созданного файла с помощью уязвимой версии Microsoft Office. В сценарии атаки по электронной почте злоумышленник может проэксплуатировать уязвимость, прислав пользователю специально созданный файл и убедив его открыть данный файл. В сценарии веб-атаки злоумышленник может разместить сайт (или воспользоваться скомпрометированным сайтом), содержащим вредоносный файл, разработанный для эксплуатирования уязвимости. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

Остальные критические уязвимости (CVE-2022-21833, CVE-2022-21857, CVE-2022-21912, CVE-2022-21898, CVE-2022-21917) затрагивают Virtual Machine IDE Drive, Active Directory Domain Services, DirectX Graphics Kernel и HEVC Video Extensions. Они могут позволить злоумышленнику повысить привилегии и выполнить произвольный код.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), осуществить атаку типа «отказ в обслуживании» и «межсайтовое выполнение сценариев».

Пользователям рекомендуется обновить установленное программное обеспечение Microsoft до последних версий.