• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

11.10.2022 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 85 уязвимостей, в том числе 15 критических и 69 уязвимостей высокого уровня опасности. Среди исправленных ошибок есть одна уязвимость «нулевого дня», а также одна уязвимость, информация о которой стала общедоступной до выхода обновлений.

11.10.2022 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 85 уязвимостей, в том числе 15 критических и 69 уязвимостей высокого уровня опасности. Среди исправленных ошибок есть одна уязвимость «нулевого дня», а также одна уязвимость, информация о которой стала общедоступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Edge, Microsoft Office, Windows Hyper-V, Visual Studio Code, Microsoft Edge, Microsoft Graphics Component, Azure Arc, Active Directory Domain Services, Client Server Run-time Subsystem (CSRSS) и др.

Уязвимости «нулевого дня» (CVE-2022-41033) присвоен высокий рейтинг опасности, она затрагивает систему событий Windows COM+ и связана с несанкционированным повышением привилегий. Предполагается, что это ошибка связана с другими уязвимостями выполнения кода, предназначенными для захвата контроля над целевой системой. В качестве векторов атаки могут использоваться вредоносные вложения или ссылки на зараженные веб-сайты.

Одна из наиболее серьезных критических уязвимостей (CVE-2022-37968) с рейтингом опасности 10 по шкале CVSS может позволить злоумышленнику получить административный контроль над кластерами Kubernetes с поддержкой Azure Arc. Также это ошибка может повлиять на устройства Azure Stack Edge, подключенные к уязвимой Azure Arc. Для удаленной эксплуатации уязвимости злоумышленнику необходимо знать случайно сгенерированную конечную точку DNS для кластера Kubernetes.

Семь критических уязвимостей затрагивают протокол PPTP (Windows Point-to-Point Tunneling Protocol). Для их эксплуатации злоумышленнику необходимо отправить на PPTP-сервер специально созданный вредоносный пакет. Это может привести к удаленному выполнению кода на стороне сервера.

Другие критические уязвимости затрагивают Windows Hyper-V, Microsoft Word, Windows CryptoAPI, Microsoft SharePoint Server, Microsoft Office, Active Directory Certificate Services. Они могут позволить злоумышленнику повысить привилегии, выполнить произвольный код или осуществить подмену идентификационных данных.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), осуществить атаку типа «отказ в обслуживании».

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Adobe устранила уязвимости в своих продуктах Mozilla устранила уязвимости в браузерах
Все новости

Другие материалы

06.09.2016
ИнфоБЕРЕГ-2016 Новости
14.05.2019
XXIV научно-практическая конференция «Комплексная защита информации» Новости
29.06.2017
Инфофорум-Крым Новости
28.10.2015
Adobe устранила критическую уязвимость в Shockwave Player Новости
26.07.2022
Apple устранила уязвимости в своих продуктах Новости
21.12.2018
Microsoft устранила уязвимость «нулевого дня» в Internet Explorer Новости