• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Microsoft устранила уязвимости «нулевого дня» в своих продуктах

09.07.2024 компания Microsoft выпустила ежемесячные обновления для своих продуктов. Обновления исправляют 139 уязвимостей, в том числе пять критических и 133 уязвимости высокого уровня опасности.

709527

В числе исправленных уязвимостей две ошибки «нулевого дня» и две уязвимости, информация о которых стала общедоступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, .NET, Azure, Defender for IoT, SQL Server, Windows Hyper-V, Remote Desktop и др.

Уязвимости «нулевого дня» CVE-2024-38080 присвоен высокий рейтинг опасности. Она затрагивает Windows Hyper-V и связана с повышением привилегий. Её эксплуатация может позволить злоумышленнику выполнить произвольный код с системными привилегиями.

Другая уязвимость «нулевого дня» CVE-2024-38112 также имеет высокий рейтинг опасности. Она затрагивает Windows MSHTML Platform, для её эксплуатации необходимо, чтобы пользователь перешёл по ссылке с вредоносным файлом, который ему направит злоумышленник.

Три критически уязвимости (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077) с рейтингом 9.8 по шкале CVSS затрагивают службу лицензирования удаленных рабочих столов (Windows Remote Desktop Licensing Service) и позволяют удалённо выполнить произвольный код. В качестве меры по минимизации риска компания Microsoft предлагает отключить службу лицензирования удаленных рабочих столов, если она не используется.

Две оставшиеся критические уязвимости (CVE-2024-38023, CVE-2024-38060) содержатся в Microsoft SharePoint Server и Microsoft Windows Codecs Library. Они позволяют злоумышленнику, прошедшему процедуру аутентификации, выполнить код в целевой системе.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные (spoofing), осуществить атаку типа «отказ в обслуживании» (DDoS-атака).

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Adobe устранила уязвимости в своих продуктах Материалы исследования Positive Technologies «Безопасность промышленных систем в цифрах v2.1*», Москва, 2012 г.