702405
Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Azure, Microsoft Edge, Windows Defender, Windows DNS and DHCP server, Microsoft Dynamics.
Уязвимость, ставшая известной до выхода обновлений (CVE-2023-20588), затрагивает процессоры AMD и связана с раскрытием данных.
Критическая уязвимость (CVE-2023-36019) с максимальным в этом месяце рейтингом опасности – 9.6 по шкале CVSS – затрагивает Microsoft Power Platform. Она связана с подменой данных (spoofing) и может повлечь за собой выполнение вредоносного кода в том случае, если пользователь перейдёт по специально созданной злоумышленником ссылке.
Две другие критические уязвимости (CVE-2023-35641, CVE-2023-35630) с рейтингом опасности 8.8 по шкале CVSS затрагивают службу общего доступа к подключению к сети Интернет (Internet Connection Sharing, ICS) и могут позволить злоумышленнику выполнить произвольный код. Для эксплуатации уязвимостей злоумышленнику необходимо отправить вредоносное DHCP-сообщение на целевой сервер.
Ещё одна критическая уязвимость (CVE-2023-35628) затрагивает Windows MSHTML Platform и может позволить удаленному, неавторизованному злоумышленнику выполнить произвольный код в целевой системе, отправив специально созданное электронное письмо.
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные (spoofing), осуществить атаки типов «отказ в обслуживании» (DDoS-атака) и «межсайтовое выполнение сценариев» (XSS-атака).
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru