• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Главная Специалистам Новости Microsoft устранила уязвимости «нулевого дня» в своих продуктах

Microsoft устранила уязвимости «нулевого дня» в своих продуктах

12.09.2023 компания Microsoft выпустила ежемесячные обновления для своих продуктов. Обновления исправляют 59 уязвимостей, в том числе 5 критических и 55 уязвимостей высокого уровня опасности.

698492

Обновления затронули следующие продукты компании: Microsoft Windows, Windows Components, Microsoft Office, Office Components, Microsoft Edge (Chromium-based), Exchange Server, .NET, Visual Studio, Azure, Microsoft Dynamics, Windows Defender и др.

В этом месяце среди исправленных ошибок – две уязвимости «нулевого дня». В их числе одна уязвимость, информация о которой стала общедоступной до выхода обновлений.

Уязвимостям «нулевого дня» присвоен высокий рейтинг опасности. Одна из них (CVE-2023-36761) затрагивает Microsoft Word и связана с раскрытием информации. Для эксплуатации уязвимости не требуется взаимодействия с пользователем, вектором атаки является панель предварительного просмотра. В результате злоумышленник сможет получить доступ к NTLM-хэшам.

Вторая уязвимость «нулевого дня» (CVE-2023-36802) затрагивает Microsoft Streaming Service Proxy. Её эксплуатация может позволить злоумышленнику получить привилегии системного уровня.

Критическая уязвимость (CVE-2023-38148) с максимальным в этом месяце рейтингом опасности 8.8 по шкале CVSS затрагивает функцию Windows под названием «общий доступ к подключению к сети Интернет» (Internet Connection Sharing, ICS). Данная уязвимость может позволить злоумышленнику, не прошедшему процедуру аутентификации, удалённо выполнить код в целевой системе. Для эксплуатации уязвимости злоумышленник должен находиться в одном сегменте сети с целевой системой.

Другая критическая уязвимость (CVE-2023-29332) затрагивает службу Microsoft Azure Kubernetes и может быть проэксплуатирована удалённо. При этом взаимодействия с пользователем не требуется. В результате злоумышленник, не прошедший процедуру аутентификации, сможет получить привилегии, необходимые для администрирования кластера серверов.

Три критические уязвимости (CVE-2023-35792, CVE-2023-36793, CVE-2023-36796) затрагивают Visual Studio и могут позволить злоумышленнику, убедившему пользователя открыть вредоносный файл, удалённо выполнить код.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, подменить данные (spoofing), выполнить произвольный код, осуществить атаки типов «отказ в обслуживании» (DDoS-атака) и «межсайтовое выполнение сценариев» (XSS-атака).

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Mozilla устранила критическую уязвимость «нулевого дня» в своих продуктах Adobe устранила уязвимости в своих продуктах, в том числе «нулевого дня»