720786
Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Visual Studio, .NET, Azure, Nuance PowerScribe, Remote Desktop Gateway Service, Microsoft Defender и др.
Уязвимость «нулевого дня» CVE-2025-30397 затрагивает Scripting Engine и связана с повреждением памяти. Она позволяет удалённому злоумышленнику выполнить произвольный код в целевой системе. Для эксплуатации уязвимости злоумышленник должен убедить пользователя перейти по специально созданной ссылке.
Уязвимость «нулевого дня» CVE-2025-32709 затрагивает Windows Ancillary Function Driver for WinSock и позволяет злоумышленнику повысить привилегии вплоть до прав администратора.
Уязвимость «нулевого дня» CVE-2025-30400 содержится в библиотеке Microsoft DWM Core и позволяет злоумышленнику повысить привилегии и в дальнейшем выполнить произвольный код.
Две уязвимости «нулевого дня» (CVE-2025-32701 и CVE-2025-32706) затрагивают Windows Common Log File System Driver и также связаны с повышением привилегий.
Самый высокий уровень опасности (10 по шкале CVSS) в этом месяце присвоен критической уязвимости в Azure DevOps CVE-2025-29813. Она позволяет неавторизованному злоумышленнику обойти механизм аутентификации и повысить привилегии.
Ещё двум критическим уязвимостям в Azure присвоен уровень опасности 9.9 по шкале CVSS. Первая (CVE-2025-29827) затрагивает службу Azure Automation и позволяет авторизованному злоумышленнику повысить привилегии в сети. Вторая уязвимость с рейтингом 9.9 (CVE-2025-29972) затрагивает Azure Storage Resource Provider и позволяет злоумышленнику подменить запросы на стороне сервера.
Две критические уязвимости (CVE-2025-29966 и CVE-2025-29967) затрагивают клиент удаленного рабочего стола (Remote Desktop Client). Они связаны с переполнением буфера и позволяют неавторизованному злоумышленнику выполнить произвольный код.
Ещё две критические уязвимости (CVE-2025-30377 и CVE-2025-30386) затрагивают Microsoft Office и связаны с использованием данных после освобождения памяти. В результате их эксплуатации возможно выполнение кода злоумышленником.
Остальные критические уязвимости затрагивают Microsoft Dataverse, Microsoft msagsfeedback.azurewebsites.net, Microsoft Power Apps, Microsoft Virtual Machine Bus. Их эксплуатация может позволить злоумышленнику выполнить произвольный код в целевой системе, раскрыть информацию.
Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, выполнить произвольный код, подменить данные, осуществить атаку типа «отказ в обслуживании» (DDoS-атака).
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
