• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Microsoft устранила уязвимости «нулевого дня» в своих продуктах

12.11.2024 компания Microsoft выпустила ежемесячные обновления для своих продуктов. Обновления исправляют 89 уязвимостей, в том числе четыре критические и 84 уязвимости высокого уровня опасности.

713678

Среди исправленных уязвимостей две являются ошибками «нулевого дня» и три – уязвимостями, информация о которых стала общедоступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Azure, .NET and Visual Studio, LightGBM, Exchange Server, SQL Server, TorchGeo, Hyper-V, Windows VMSwitch и др.

Уязвимостям «нулевого дня» присвоен высокий уровень опасности. Одна из них (CVE-2024-43451) затрагивает NTLM Hash и связана с подменой данных (spoofing). Её эксплуатация может позволить злоумышленнику раскрыть хэш NTLMv2 и использовать его для аутентификации в качестве пользователя. Другая (CVE-2024-49039) – затрагивает планировщик заданий (Windows Task Scheduler) и может позволить злоумышленнику выполнить произвольный код, предварительно заставив пользователя загрузить специально созданный файл.

Наиболее серьезные критические уязвимости с рейтингом опасности 9.8 по шкале CVSS затрагивают Windows Kerberos (CVE-2024-43639) и  .NET and Visual Studio (CVE-2024-43498). Первая позволяет удаленному злоумышленнику, не прошедшему процедуру аутентификации, выполнить код в целевой системе, используя ошибку в криптографическом протоколе. Причём для этого не требуется какое-либо взаимодействие с пользователем. Вторая критическая уязвимость позволяет злоумышленнику выполнить код, отправив специально созданный запрос или заставив пользователя загрузить специально созданный файл.

Две другие критические уязвимости затрагивают airlift.microsoft.com и Microsoft Windows VMSwitch и связаны с повышением привилегий.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные, осуществить атаку типа «отказ в обслуживании» (DDoS-атака).

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Google устранила уязвимости в ОС Android Adobe устранила множественные уязвимости в своих продуктах