• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости

Microsoft устранила уязвимости «нулевого дня» в своих продуктах

14.11.2023 компания Microsoft выпустила ежемесячные обновления для своих продуктов. Обновления исправляют свыше 60 уязвимостей, в том числе три критических и 56 уязвимостей высокого уровня опасности.

Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Exchange Server, ASP.NET and .NET Framework, Azure, Mariner, Microsoft Edge, Visual Studio, Windows Hyper-V и др.

В этом месяце среди исправленных ошибок – три уязвимости «нулевого дня» и три уязвимости, информация о которых стала общедоступной до выхода обновлений.

Уязвимостям «нулевого дня» присвоен высокий рейтинг опасности. Той, что имеет наибольший рейтинг опасности (8.8 по шкале CVSS), присвоен идентификатор CVE-2023-36025. Она затрагивает программу Windows SmartScreen и связана с обходом ограничений безопасности.

Вторая уязвимость «нулевого дня» (CVE-2023-36033) затрагивает библиотеку Microsoft DWM  Core Library и связана с возможностью повышения привилегий вплоть до системных через диспетчер окон рабочего стола (Desktop Windows Manager).

Третья уязвимость «нулевого дня» (CVE-2023-36036) затрагивает драйвер Windows Cloud Files Mini Filter Driver и также может позволить злоумышленнику получить системные привилегии.

Одна из критических уязвимостей (CVE-2023-36397) получила максимальный в этом месяце рейтинг опасности – 9.8 по шкале CVSS. Она затрагивает сетевой протокол надёжной многоадресной передачи данных (Windows Pragmatic General Multicast, PGM) и позволяет удалённому злоумышленнику, не прошедшему процедуру аутентификации, выполнить произвольный код с повышенными привилегиями без взаимодействия с пользователем.

Другая критическая уязвимость (CVE-2023-36052) затрагивает интерфейс командной строки (Azure CLI) и может позволить злоумышленнику раскрыть конфиденциальную информацию.

Третья критическая уязвимость (CVE-2023-36400) затрагивает Windows HMAC Key Derivation и позволяет злоумышленнику получить системные привилегии и контроль над целевой системой.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные (spoofing), осуществить атаки типов «отказ в обслуживании» (DDoS-атака) и «межсайтовое выполнение сценариев» (XSS-атака).

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Google устранила уязвимости в ОС Android Adobe устранила уязвимости в своих продуктах
Все новости

Другие материалы

25.05.2021
Apple устранила уязвимости в своих продуктах, в том числе уязвимости «нулевого дня» Новости
14.01.2020
Обновлен календарь конференций на 2020 год Новости
05.02.2024
НКЦКИ предупреждает о рисках удалённого доступа Новости
15.11.2012
Мошенники зарабатывают миллионы на поддельных сообщениях от ФБР Новости
13.10.2021
Mozilla устранила уязвимости в Thunderbird Новости
30.05.2022
XI симпозиум «Современные тенденции в криптографии» (CTCrypt 2022) Новости