698492
Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Microsoft Edge (Chromium-based), Exchange Server, .NET, Visual Studio, Azure, Microsoft Dynamics, Windows Defender и др.
В этом месяце среди исправленных ошибок – две уязвимости «нулевого дня». В их числе одна уязвимость, информация о которой стала общедоступной до выхода обновлений.
Уязвимостям «нулевого дня» присвоен высокий рейтинг опасности. Одна из них (CVE-2023-36761) затрагивает Microsoft Word и связана с раскрытием информации. Для эксплуатации уязвимости не требуется взаимодействия с пользователем, вектором атаки является панель предварительного просмотра. В результате злоумышленник сможет получить доступ к NTLM-хэшам.
Вторая уязвимость «нулевого дня» (CVE-2023-36802) затрагивает Microsoft Streaming Service Proxy. Её эксплуатация может позволить злоумышленнику получить привилегии системного уровня.
Критическая уязвимость (CVE-2023-38148) с максимальным в этом месяце рейтингом опасности 8.8 по шкале CVSS затрагивает функцию Windows под названием «общий доступ к подключению к сети Интернет» (Internet Connection Sharing, ICS). Данная уязвимость может позволить злоумышленнику, не прошедшему процедуру аутентификации, удалённо выполнить код в целевой системе. Для эксплуатации уязвимости злоумышленник должен находиться в одном сегменте сети с целевой системой.
Другая критическая уязвимость (CVE-2023-29332) затрагивает службу Microsoft Azure Kubernetes и может быть проэксплуатирована удалённо. При этом взаимодействия с пользователем не требуется. В результате злоумышленник, не прошедший процедуру аутентификации, сможет получить привилегии, необходимые для администрирования кластера серверов.
Три критические уязвимости (CVE-2023-35792, CVE-2023-36793, CVE-2023-36796) затрагивают Visual Studio и могут позволить злоумышленнику, убедившему пользователя открыть вредоносный файл, удалённо выполнить код.
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), выполнить произвольный код, осуществить атаки типов «отказ в обслуживании» (DDoS-атака) и «межсайтовое выполнение сценариев» (XSS-атака).
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru