713678
Среди исправленных уязвимостей две являются ошибками «нулевого дня» и три – уязвимостями, информация о которых стала общедоступной до выхода обновлений.
Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Azure, .NET and Visual Studio, LightGBM, Exchange Server, SQL Server, TorchGeo, Hyper-V, Windows VMSwitch и др.
Уязвимостям «нулевого дня» присвоен высокий уровень опасности. Одна из них (CVE-2024-43451) затрагивает NTLM Hash и связана с подменой данных (spoofing). Её эксплуатация может позволить злоумышленнику раскрыть хэш NTLMv2 и использовать его для аутентификации в качестве пользователя. Другая (CVE-2024-49039) – затрагивает планировщик заданий (Windows Task Scheduler) и может позволить злоумышленнику выполнить произвольный код, предварительно заставив пользователя загрузить специально созданный файл.
Наиболее серьезные критические уязвимости с рейтингом опасности 9.8 по шкале CVSS затрагивают Windows Kerberos (CVE-2024-43639) и .NET and Visual Studio (CVE-2024-43498). Первая позволяет удаленному злоумышленнику, не прошедшему процедуру аутентификации, выполнить код в целевой системе, используя ошибку в криптографическом протоколе. Причём для этого не требуется какое-либо взаимодействие с пользователем. Вторая критическая уязвимость позволяет злоумышленнику выполнить код, отправив специально созданный запрос или заставив пользователя загрузить специально созданный файл.
Две другие критические уязвимости затрагивают airlift.microsoft.com и Microsoft Windows VMSwitch и связаны с повышением привилегий.
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные, осуществить атаку типа «отказ в обслуживании» (DDoS-атака).
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru