686188
08.11.2022 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие свыше 60 уязвимостей, в том числе 11 критических и 53 уязвимости высокого уровня опасности. Среди исправленных ошибок есть шесть уязвимостей «нулевого дня», а также одна уязвимость, информация о которой стала общедоступной до выхода обновлений.
Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Office, Windows Hyper-V, Azure, Microsoft Dynamics, Microsoft Exchange Server, Microsoft Graphics Component, Visual Studio и др.
Три критические уязвимости «нулевого дня» (CVE-2022-41040, CVE-2022-41082, CVE-2022-41128) затрагивают Microsoft Exchange Server и Windows Scripting Languages. Они связаны с возможностью повышения привилегий и выполнения кода злоумышленником. Трем уязвимостям «нулевого дня» присвоен высокий рейтинг опасности (CVE-2022-41091, CVE-2022-41125, CVE-2022-41073), они затрагивают компонент Windows Mark of the Web, службу Windows CNG Key Isolation Service и компонент Windows Print Spooler. Их эксплуатация может позволить злоумышленнику обойти ограничения безопасности, повысить привилегии.
Остальные критические уязвимости затрагивают Microsoft Exchange Server, Windows Hyper-V, Windows Kerberos, Windows Point-to-Point Tunneling Protocol и Windows Scripting Languages. Они могут позволить злоумышленнику повысить привилегии, выполнить произвольный код или осуществить атаку типа «отказ в обслуживании».
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), осуществить атаку типа «отказ в обслуживании».
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
