701153
Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Exchange Server, ASP.NET and .NET Framework, Azure, Mariner, Microsoft Edge, Visual Studio, Windows Hyper-V и др.
В этом месяце среди исправленных ошибок – три уязвимости «нулевого дня» и три уязвимости, информация о которых стала общедоступной до выхода обновлений.
Уязвимостям «нулевого дня» присвоен высокий рейтинг опасности. Той, что имеет наибольший рейтинг опасности (8.8 по шкале CVSS), присвоен идентификатор CVE-2023-36025. Она затрагивает программу Windows SmartScreen и связана с обходом ограничений безопасности.
Вторая уязвимость «нулевого дня» (CVE-2023-36033) затрагивает библиотеку Microsoft DWM Core Library и связана с возможностью повышения привилегий вплоть до системных через диспетчер окон рабочего стола (Desktop Windows Manager).
Третья уязвимость «нулевого дня» (CVE-2023-36036) затрагивает драйвер Windows Cloud Files Mini Filter Driver и также может позволить злоумышленнику получить системные привилегии.
Одна из критических уязвимостей (CVE-2023-36397) получила максимальный в этом месяце рейтинг опасности – 9.8 по шкале CVSS. Она затрагивает сетевой протокол надёжной многоадресной передачи данных (Windows Pragmatic General Multicast, PGM) и позволяет удалённому злоумышленнику, не прошедшему процедуру аутентификации, выполнить произвольный код с повышенными привилегиями без взаимодействия с пользователем.
Другая критическая уязвимость (CVE-2023-36052) затрагивает интерфейс командной строки (Azure CLI) и может позволить злоумышленнику раскрыть конфиденциальную информацию.
Третья критическая уязвимость (CVE-2023-36400) затрагивает Windows HMAC Key Derivation и позволяет злоумышленнику получить системные привилегии и контроль над целевой системой.
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные (spoofing), осуществить атаки типов «отказ в обслуживании» (DDoS-атака) и «межсайтовое выполнение сценариев» (XSS-атака).
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru