• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости

Microsoft устранила уязвимости «нулевого дня» в своих продуктах

11.03.2025 компания Microsoft выпустила ежемесячные обновления для своих продуктов. Обновления исправляют 57 уязвимостей, в том числе шесть критических и 50 уязвимостей высокого уровня опасности. Среди последних есть шесть уязвимостей «нулевого дня» и одна уязвимость, информация о которой стала доступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Visual Studio, .NET, Azure, Remote Desktop Services, DNS Server, Hyper-V Server и др.

Три уязвимости «нулевого дня» затрагивают Windows NTFS. Две из них (CVE-2025-24984 и CVE-2025-24991) позволяют злоумышленнику раскрыть конфиденциальную информацию, а одна (CVE-2025-24993) – выполнить произвольный код.

Активно эксплуатируемая уязвимость (CVE-2025-26633) затронула консоль управления Microsoft (Microsoft Management Console) и связана с обходом ограничений безопасности. Для её эксплуатации злоумышленнику необходимо убедить пользователя открыть специально созданный файл или перейти по вредоносной ссылке. В результате он сможет выполнить код с правами текущего пользователя.

Ещё одна уязвимость «нулевого дня» (CVE-2025-24985) затрагивает компонент Windows Fast FAT File System Driver, связана с ошибкой целочисленного переполнения и может привести к выполнению произвольного кода. Для её эксплуатации необходимо убедить пользователя смонтировать специально созданный виртуальный жесткий диск (VHD). Использование этой уязвимости в сочетании с другой может позволить злоумышленнику получить полный контроль над целевой системой.

Другая уязвимость, используемая в атаках (CVE-2025-24983), затрагивает подсистему ядра Windows Win32 Kernel Subsystem и связана с повышением привилегий.

Критические уязвимости затрагивают Microsoft Access, Microsoft Office, Remote Desktop Client, Windows Domain Name Service, Windows Remote Desktop Services и Windows Subsystem for Linux (WSL2) Kernel. Все они могут позволить злоумышленнику удаленно выполнить произвольный код в целевой системе.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные, осуществить атаку типа «отказ в обслуживании» (DDoS-атака).

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Adobe устранила уязвимости в своих продуктах Apple устранила уязвимость «нулевого дня» в своих продуктах
Все новости

Другие материалы

05.02.2024
ТБ-форум 2024: два дня конференций по информационной безопасности Новости
11.08.2020
Google устранила уязвимости в Chrome Новости
22.09.2020
Adobe устранила уязвимости в Media Encoder Новости
23.03.2015
Cisco сообщила о новом виде вредоносного ПО для POS-терминалов Новости
09.08.2019
Cisco устранила уязвимости в своих продуктах Новости
06.04.2016
V Форум АЗИ «Актуальные вопросы информационной безопасности России» Новости