• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости

Microsoft устранила уязвимости «нулевого дня» в своих продуктах

14.01.2025 компания Microsoft выпустила ежемесячные обновления для своих продуктов. Обновления исправляют 159 уязвимостей, в том числе 11 критических и 148 уязвимостей высокого уровня опасности. Среди последних есть три уязвимости «нулевого дня» и пять уязвимостей, информация о которых стала доступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office  Components, SharePoint Server, Hyper-V, .NET, Visual Studio, Azure, BitLocker, Remote Desktop Services, Windows Virtual Trusted Platform Module и др.

Уязвимости «нулевого дня» CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 затрагивают компонент Windows Hyper-V NT Kernel Integration VSP и позволяют злоумышленнику повысить привилегии до системных и выполнить код.

Самый высокий уровень опасности (9.8 по шкале CVSS) в этом месяце присвоен трём критическим уязвимостям. Первая (CVE-2025-21298) затрагивает Windows OLE и позволяет удалённому злоумышленнику выполнить код в целевой системе, отправив специально созданное письмо с помощью почтовой программы Outlook. Панель предварительного просмотра не является вектором атаки, но предварительный просмотр вложения может вызвать выполнение кода.

Вторая уязвимость с рейтингом 9.8 (CVE-2025-21307) затрагивает Windows Reliable Multicast Transport Driver  (RMCAST) и позволяет злоумышленнику, непрошедшему процедуру аутентификации, отправить специально созданные пакеты через протокол Windows Pragmatic General Multicast (PGM) и в результате выполнить произвольный код.

Третья уязвимость с рейтингом 9.8 (CVE-2025-21311) затрагивает устаревший протокол аутентификации Windows NTLM V1 и может быть использована удалённо. Её эксплуатация может привести к повышению привилегий.

Две критические уязвимости (CVE-2025-21297 и CVE-2025-21309) затрагивают службы удалённого рабочего стола и позволяют удалённому, неаутентифицированному злоумышленнику выполнить произвольный код на уязвимых серверах удалённых рабочих столов. При этом для эксплуатации ошибок не требуется взаимодействия с пользователем.

Другие критические уязвимости затрагивают Visual Studio, SPNEGO Extended Negotiation (NEGOEX) Security Mechanism, Microsoft Purview, Microsoft Digest Authentication, BranchCache и Azure Marketplace SaaS Resources. Их эксплуатация может привести к выполнению кода, раскрытию конфиденциальной информации пользователя.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные, осуществить атаку типа «отказ в обслуживании» (DDoS-атака).

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Adobe устранила уязвимости в своих продуктах Oracle устранила уязвимости в своих продуктах
Все новости

Другие материалы

25.10.2023
Mozilla устранила уязвимости в своих продуктах Новости
20.05.2015
Google выпустила обновленную версию Chrome Новости
15.12.2017
Apple устранила уязвимости в своих продуктах Новости
30.06.2016
«Доктор Веб»: обзор вирусной активности в июне 2016 года Новости
06.12.2023
Google устранила уязвимости в Chrome Новости
05.10.2016
Google устранила множественные уязвимости в ОС Android Новости