• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

10.01.2023 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие свыше 98 уязвимостей, в том числе 11 критических и 87 уязвимостей высокого уровня опасности. Среди исправленных ошибок есть одна уязвимость «нулевого дня», а также одна уязвимость, информация о которой стала общедоступной до выхода обновлений.

688462

10.01.2023 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 98 уязвимостей, в том числе 11 критических и 87 уязвимостей высокого уровня опасности. Среди исправленных ошибок есть одна уязвимость «нулевого дня», а также одна уязвимость, информация о которой стала общедоступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Office, 3D Builder, Azure Service Fabric Container, Microsoft Bluetooth Driver, Microsoft Exchange Server, Microsoft Graphics Component, Visual Studio Code и др.

Уязвимости «нулевого дня» (CVE-2023-21674) присвоен высокий уровень опасности, она затрагивает обработчик вызовов Windows Advanced Local Procedure Call (ALPC) и связана с обходом ограничений безопасности и получением системных привилегий.

Одна критическая уязвимость связана с обходом ограничений безопасности в Microsoft SharePoint Server. Эта ошибка может позволить удаленному злоумышленнику, не прошедшему процедуру аутентификации, установить анонимное подключение к целевому серверу SharePoint. Для устранения этой уязвимости необходимо скачать последнюю версию Microsoft SharePoint Server и инициировать действие обновления на каждом сервере SharePoint при помощи мастера настройки продуктов SharePoint, упрощенной команды в среде PowerShell «PowerShell Upgrade-SPFarm» или команды «psconfig.exe -cmd upgrade -inplace b2b».

Пять критических уязвимостей затрагивают протокол туннелирования второго уровня – Windows Layer 2 Tunneling Protocol (L2TP). Для их эксплуатации злоумышленник, не прошедший процедуру аутентификации, может отправить специально созданный запрос на подключение к серверу удаленного доступа к целевой системе и в результате удаленно выполнить код.

Две критические уязвимости затрагивают протокол безопасного туннелирования сокетов – Windows Secure Socket Tunneling Protocol (SSTP). Они также связаны с возможностью удаленного выполнения кода.

Три критические уязвимости устранены в службе Microsoft Cryptographic Services. Их эксплуатация может привести к повышению привилегий и выполнению удаленного кода злоумышленником.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), выполнить произвольный код, осуществить атаку типа «отказ в обслуживании».

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Google устранила уязвимости в ОС Android Google устранила уязвимости в Chrome