712794
Среди исправленных уязвимостей две являются ошибками «нулевого дня» и пять – уязвимостями, информация о которых стала общедоступной до выхода обновлений.
Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Azure, .NET and Visual Studio, OpenSSH for Windows, Power BI, Windows Hyper-V, Windows Mobile Broadband и др.
Уязвимостям «нулевого дня» присвоен средний уровень опасности. Одна из них (CVE-2024-43573) затрагивает Windows MSHTML Platform и связана с подменой данных (spoofing). Другая (CVE-2024-43572) – затрагивает консоль управления Microsoft (Microsoft Management Console) и может позволить злоумышленнику выполнить произвольный код, предварительно заставив пользователя загрузить специально созданный файл.
Самая серьезная в этом месяце уязвимость – ошибка «нулевого дня» CVE-2024-43468 с максимальным в этом выпуске рейтингом опасности (9.8 по шкале CVSS). Она затрагивает Microsoft Configuration Manager, не требует взаимодействия с пользователем и может позволить удалённому злоумышленнику выполнить произвольный код в целевой системе. Для устранения уязвимости необходимо установить обновление в консоли. Руководство по установке обновления в консоли Microsoft Configuration Manager приведено на сайте.
Другая уязвимость «нулевого дня» CVE-2024-43582 затрагивает сервер протокола удаленного рабочего стола (Remote Desktop Protocol Server) и позволяет злоумышленнику, не прошедшему процедуру аутентификации, удалённо выполнить произвольный код с повышенными привилегиями, отправив специально созданные запросы на сервер.
Ещё одна уязвимость «нулевого дня» CVE-2024-43488 затрагивает расширение Visual Studio Code для Arduino и также позволяет злоумышленнику, не прошедшему процедуру аутентификации, удалённо выполнить произвольный код. Microsoft сообщает, что расширение Visual Studio Code для Arduino устарело и рекомендует клиентам использовать программное обеспечение Arduino IDE.
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные (spoofing), осуществить атаку типа «отказ в обслуживании» (DDoS-атака).
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru