Ноябрьские патчи Microsoft исправляют пять уязвимостей нулевого дня - «Новости» » Интернет технологии
sitename
Kingston посоветовала закупаться ОЗУ и SSD, или будет поздно — NAND подорожала на 246 % и это не предел - «Новости сети»
Kingston посоветовала закупаться ОЗУ и SSD, или будет поздно — NAND подорожала на 246 % и это не предел - «Новости сети»
 Arctic выпустила термопасту MX-7 — её не нужно размазывать по процессору - «Новости сети»
Arctic выпустила термопасту MX-7 — её не нужно размазывать по процессору - «Новости сети»
 Разработка чересчур реалистичного шутера Unrecord вышла на новый уровень благодаря Tencent - «Новости сети»
Разработка чересчур реалистичного шутера Unrecord вышла на новый уровень благодаря Tencent - «Новости сети»
 Критический успех: глава Larian наконец раскрыл продажи Baldur’s Gate 3 - «Новости сети»
Критический успех: глава Larian наконец раскрыл продажи Baldur’s Gate 3 - «Новости сети»
 Госдума обязала все домовые чаты в России переехать в мессенджер Max - «Новости сети»
Госдума обязала все домовые чаты в России переехать в мессенджер Max - «Новости сети»
 Первую партию трёхстворчатых смартфонов Samsung Galaxy Z TriFold смели за несколько минут - «Новости сети»
Первую партию трёхстворчатых смартфонов Samsung Galaxy Z TriFold смели за несколько минут - «Новости сети»
 Распаковку смартфона OnePlus 15R опубликовали в преддверии анонса - «Новости сети»
Распаковку смартфона OnePlus 15R опубликовали в преддверии анонса - «Новости сети»
 «Я капитан Шепард, и это моя самая ожидаемая игра»: грандиозный ролевой боевик Exodus в духе Mass Effect не выйдет в 2026 году - «Новости сети»
«Я капитан Шепард, и это моя самая ожидаемая игра»: грандиозный ролевой боевик Exodus в духе Mass Effect не выйдет в 2026 году - «Новости сети»
 «Дорогая, у нас есть Cyberpunk 2077 дома»: дебютный трейлер ролевого экшена No Law смутил игроков своей вторичностью - «Новости сети»
«Дорогая, у нас есть Cyberpunk 2077 дома»: дебютный трейлер ролевого экшена No Law смутил игроков своей вторичностью - «Новости сети»
 Учёные обнаружили, что ИИ-модели с трудом понимают разницу между верой и знанием - «Новости сети»
Учёные обнаружили, что ИИ-модели с трудом понимают разницу между верой и знанием - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Ноябрьские патчи Microsoft исправляют пять уязвимостей нулевого дня - «Новости»

✔Ноябрьские патчи Microsoft исправляют пять уязвимостей нулевого дня - «Новости»

17 ноября 2023 621 Добавления стилей / Изображения / Интернет и связь / Новости / Преимущества стилей / Вёрстка / Отступы и поля / Видео уроки / Самоучитель CSS 0

На этой неделе компания Microsoft выпустила ноябрьский набор патчей, которые суммарно устранили 58 уязвимостей (без учета еще 20 исправлений для Microsoft Edge, выпущенных ранее), включая пять 0-day проблем.


Хотя в этом месяце было исправлено 14 ошибок, связанных с удаленным выполнением кода (RCE), только одну из них специалисты Microsoft оценили как критическую: уязвимость CVE-2023-36052 в Azure CLI, найденную исследователями Palo Alto Networks.


Этот баг позволял злоумышленникам похищать учетные данные из GitHub Actions или журналов Azure DevOps, созданных с помощью Azure CLI. Так, успешная эксплуатация бага позволяла неаутентифицированным третьим лицам удаленно получать доступ к текстовому содержимому, записываемому Azure CLI в журналы CI/CD.


«Злоумышленник, успешно эксплуатирующий эту уязвимость, может восстановить пароли и имена пользователей в открытом виде из файлов журналов, созданных соответствующими командами CLI и опубликованных Azure DevOps и/или GitHub Actions, — поясняет Microsoft. — Клиенты, использующие уязвимые команды CLI, должны обновить Azure CLI до версии 2.53.1 или выше, чтобы защититься от рисков, связанных с этой уязвимостью. Это также относится к клиентам с логами, созданными с помощью этих команд через Azure DevOps и GitHub Actions».


По словам специалистов, клиенты, которые недавно использовали команды Azure CLI, уже уведомлены о проблеме через Azure Portal.


Среди других исправленных в ноябре RCE-проблем были уязвимости в Windows Internet Connection Sharing (ICS) и Hyper-V, позволяющая выполнять программы на хосте с привилегиями уровня SYSTEM.


Что касается уязвимостей нулевого дня, таковых в этом месяце насчитывается пять, причем три из них уже использовались в атаках, а информация еще о трех была публично раскрыта до выхода исправлений.


В список активно эксплуатируемых уязвимостей вошли:


CVE-2023-36036 — повышение привилегий в драйвере Windows Cloud Files Mini Filter. Microsoft предупреждает, что эту ошибку можно было использовать для повышения привилегий до уровня SYSTEM.  Пока не сообщается, каким именно образом этот баг применялся хакерами.


CVE-2023-36033 — повышение привилегий в библиотеке ядра Windows Desktop Manager (WDM). Эта проблема так же могла использоваться для повышения привилегий до уровня SYSTEM. Microsoft сообщила, что уязвимость была обнаружена специалистом DBAPPSecurity WeBin Lab, но не предоставила никаких подробностей о ее эксплуатации.


CVE-2023-36025 — обход защиты Windows Defender SmartScreen. Уязвимость позволяла вредоносному ярлыку Internet Shortcut обойти проверки и связанные с ними предупреждения безопасности.


«Пользователю достаточно кликнуть по специально созданному ярлыку Internet Shortcut (.URL) или гиперссылке, указывающей на файл Internet Shortcut, чтобы попасть под атаку злоумышленника», — пишут специалисты компании.


Кроме того, Microsoft сообщает, что в рамках этого «вторника обновлений» исправлены еще две публично раскрытые ранее проблемы нулевого дня: обход защитных функций Microsoft Office (CVE-2023-36413) и отказ в обслуживании, связанный с ASP.NET (CVE-2023-36038). Эти уязвимости не использовались в атаках.


Также на этой неделе обновления и исправления для своих продуктов выпустили и другие крупные компании:



  • Adobe исправила сразу 76 уязвимостей в Acrobat и Reader, InDesign, InCopy, Photoshop, ColdFusion, Audition, Premiere Pro, After Effects, Media Encoder, Dimension, Animate, Bridge, RoboHelp Server и FrameMaker Publishing Server. Однако ни одна из этих уязвимостей не использовалась злоумышленниками;

  • VMware предложила временное решение для критической уязвимости обхода аутентификации (CVE-2023-34060), которая затрагивала Cloud Director. Баг получил 9,8 балла по шкале CVSS, но влияет только на экземпляры, которые были обновлены со старой версии до версии 10.5;

  • SAP устранила ​​критическую ошибку неправильного контроля доступа в Business One (CVE-2023-31403), получившую оценку 9,6 балла по шкале CVSS;

  • Cisco  выпустила обновления безопасности для различных продуктов, включая Cisco ASA.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

На этой неделе компания Microsoft выпустила ноябрьский набор патчей, которые суммарно устранили 58 уязвимостей (без учета еще 20 исправлений для Microsoft Edge, выпущенных ранее), включая пять 0-day проблем. Хотя в этом месяце было исправлено 14 ошибок, связанных с удаленным выполнением кода (RCE), только одну из них специалисты Microsoft оценили как критическую: уязвимость CVE-2023-36052 в Azure CLI, найденную исследователями Palo Alto Networks. Этот баг позволял злоумышленникам похищать учетные данные из GitHub Actions или журналов Azure DevOps, созданных с помощью Azure CLI. Так, успешная эксплуатация бага позволяла неаутентифицированным третьим лицам удаленно получать доступ к текстовому содержимому, записываемому Azure CLI в журналы CI/CD. «Злоумышленник, успешно эксплуатирующий эту уязвимость, может восстановить пароли и имена пользователей в открытом виде из файлов журналов, созданных соответствующими командами CLI и опубликованных Azure DevOps и/или GitHub Actions, — поясняет Microsoft. — Клиенты, использующие уязвимые команды CLI, должны обновить Azure CLI до версии 2.53.1 или выше, чтобы защититься от рисков, связанных с этой уязвимостью. Это также относится к клиентам с логами, созданными с помощью этих команд через Azure DevOps и GitHub Actions». По словам специалистов, клиенты, которые недавно использовали команды Azure CLI, уже уведомлены о проблеме через Azure Portal. Среди других исправленных в ноябре RCE-проблем были уязвимости в Windows Internet Connection Sharing (ICS) и Hyper-V, позволяющая выполнять программы на хосте с привилегиями уровня SYSTEM. Что касается уязвимостей нулевого дня, таковых в этом месяце насчитывается пять, причем три из них уже использовались в атаках, а информация еще о трех была публично раскрыта до выхода исправлений. В список активно эксплуатируемых уязвимостей вошли: CVE-2023-36036 — повышение привилегий в драйвере Windows Cloud Files Mini Filter. Microsoft предупреждает, что эту ошибку можно было использовать для повышения привилегий до уровня SYSTEM. Пока не сообщается, каким именно образом этот баг применялся хакерами. CVE-2023-36033 — повышение привилегий в библиотеке ядра Windows Desktop Manager (WDM). Эта проблема так же могла использоваться для повышения привилегий до уровня SYSTEM. Microsoft сообщила, что уязвимость была обнаружена специалистом DBAPPSecurity WeBin Lab, но не предоставила никаких подробностей о ее эксплуатации. CVE-2023-36025 — обход защиты Windows Defender SmartScreen. Уязвимость позволяла вредоносному ярлыку Internet Shortcut обойти проверки и связанные с ними предупреждения безопасности. «Пользователю достаточно кликнуть по специально созданному ярлыку Internet Shortcut (.URL) или гиперссылке, указывающей на файл Internet Shortcut, чтобы попасть под атаку злоумышленника», — пишут специалисты компании. Кроме того, Microsoft сообщает, что в рамках этого «вторника обновлений» исправлены еще две публично раскрытые ранее проблемы нулевого дня: обход защитных функций Microsoft Office (CVE-2023-36413) и отказ в обслуживании, связанный с ASP.NET (CVE-2023-36038). Эти уязвимости не использовались в атаках. Также на этой неделе обновления и исправления для своих продуктов выпустили и другие крупные компании: Adobe исправила сразу 76 уязвимостей в Acrobat и Reader, InDesign, InCopy, Photoshop, ColdFusion, Audition, Premiere Pro, After Effects, Media Encoder, Dimension, Animate, Bridge, RoboHelp Server и FrameMaker Publishing Server. Однако ни одна из этих уязвимостей не использовалась злоумышленниками; VMware предложила временное решение для критической уязвимости обхода аутентификации (CVE-2023-34060), которая затрагивала Cloud Director. Баг получил 9,8 балла по шкале CVSS, но влияет только на экземпляры, которые были обновлены со старой версии до версии 10.5; SAP устранила ​​критическую ошибку неправильного контроля доступа в Business One (CVE-2023-31403), получившую оценку 9,6 балла по шкале CVSS; Cisco выпустила обновления безопасности для различных продуктов, включая Cisco ASA.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: