Microsoft выпустила финальный набор обновлений Patch Tuesday для 2023 года, устраняющих 33 недостатка в своем программном обеспечении, что делает его одним из самых легких релизов за последние годы.
Из 33 недостатков четыре оценены как критические, а 29 - как Важные по степени серьезности. Исправления дополняют 18 недостатков, устраненных Microsoft в своем браузере Edge на базе Chromium с момента выпуска обновлений Patch Tuesday за ноябрь 2023 года.
Согласно данным Инициативы нулевого дня, софтверный гигант исправил более 900 ошибок в этом году, что делает его одним из самых загруженных годов для исправлений Microsoft. Для сравнения, в Редмонде было устранено 917 CVE в 2022 году.
Хотя ни одна из уязвимостей не указана в списке общедоступных или подвергающихся активной атаке на момент выпуска, некоторые из наиболее заметных перечислены ниже -
"Злоумышленник мог манипулировать вредоносной ссылкой, приложением или файлом, маскируя их под законную ссылку или файл, чтобы обмануть жертву", - говорится в сообщении Microsoft.
Обновление Microsoft, выпущенное во вторник, также устраняет три ошибки в серверной службе протокола динамической конфигурации хоста (DHCP), которые могли привести к отказу в обслуживании или раскрытию информации -
"Эти атаки могут позволить злоумышленникам подделывать конфиденциальные записи DNS, что приводит к различным последствиям - от кражи учетных данных до полной компрометации домена Active Directory", - сказал Ори Дэвид в отчете на прошлой неделе. "Атаки не требуют никаких учетных данных и работают с настройкой по умолчанию DHCP-сервера Microsoft".
Компания, занимающаяся веб-инфраструктурой и безопасностью, далее отметила, что влияние ошибок может быть значительным, поскольку их можно использовать для подделки DNS-записей на DNS-серверах Microsoft, включая перезапись произвольной DNS-записи без проверки подлинности, что позволяет злоумышленнику занять промежуточное положение на хостах в домене и получить доступ к конфиденциальным данным.
Microsoft в ответ на выводы заявила, что "проблемы либо преднамеренны, либо недостаточно серьезны для исправления", в результате чего пользователям необходимо отключить динамические обновления DHCP DNS, если они не требуются, и воздержаться от использования DnsUpdateProxy.
Из 33 недостатков четыре оценены как критические, а 29 - как Важные по степени серьезности. Исправления дополняют 18 недостатков, устраненных Microsoft в своем браузере Edge на базе Chromium с момента выпуска обновлений Patch Tuesday за ноябрь 2023 года.
Согласно данным Инициативы нулевого дня, софтверный гигант исправил более 900 ошибок в этом году, что делает его одним из самых загруженных годов для исправлений Microsoft. Для сравнения, в Редмонде было устранено 917 CVE в 2022 году.
Хотя ни одна из уязвимостей не указана в списке общедоступных или подвергающихся активной атаке на момент выпуска, некоторые из наиболее заметных перечислены ниже -
- CVE-2023-35628 (оценка CVSS: 8.1) - Уязвимость для удаленного выполнения кода на платформе Windows MSHTML
- CVE-2023-35630 (оценка CVSS: 8,8) - Уязвимость удаленного выполнения кода с общим доступом к Интернет-соединению (ICS)
- CVE-2023-35636 (оценка CVSS: 6,5) - Уязвимость при раскрытии информации в Microsoft Outlook
- CVE-2023-35639 (оценка CVSS: 8,8) - Уязвимость для удаленного выполнения кода драйвера Microsoft ODBC
- CVE-2023-35641 (оценка CVSS: 8,8) - Уязвимость удаленного выполнения кода с общим доступом к Интернету (ICS)
- CVE-2023-35642 (оценка CVSS: 6,5) - Уязвимость, связанная с отказом в обслуживании при совместном использовании интернет-соединения (ICS)
- CVE-2023-36019 (оценка CVSS: 9.6) - Уязвимость для подмены Microsoft Power Platform Connector
"Злоумышленник мог манипулировать вредоносной ссылкой, приложением или файлом, маскируя их под законную ссылку или файл, чтобы обмануть жертву", - говорится в сообщении Microsoft.
Обновление Microsoft, выпущенное во вторник, также устраняет три ошибки в серверной службе протокола динамической конфигурации хоста (DHCP), которые могли привести к отказу в обслуживании или раскрытию информации -
- CVE-2023-35638 (оценка CVSS: 7.5) - Уязвимость, связанная с отказом в обслуживании DHCP-сервера
- CVE-2023-35643 (оценка CVSS: 7.5) - Уязвимость в раскрытии служебной информации DHCP-сервера
- CVE-2023-36012 (оценка CVSS: 5.3) - Уязвимость в раскрытии служебной информации DHCP-сервера
"Эти атаки могут позволить злоумышленникам подделывать конфиденциальные записи DNS, что приводит к различным последствиям - от кражи учетных данных до полной компрометации домена Active Directory", - сказал Ори Дэвид в отчете на прошлой неделе. "Атаки не требуют никаких учетных данных и работают с настройкой по умолчанию DHCP-сервера Microsoft".
Компания, занимающаяся веб-инфраструктурой и безопасностью, далее отметила, что влияние ошибок может быть значительным, поскольку их можно использовать для подделки DNS-записей на DNS-серверах Microsoft, включая перезапись произвольной DNS-записи без проверки подлинности, что позволяет злоумышленнику занять промежуточное положение на хостах в домене и получить доступ к конфиденциальным данным.
Microsoft в ответ на выводы заявила, что "проблемы либо преднамеренны, либо недостаточно серьезны для исправления", в результате чего пользователям необходимо отключить динамические обновления DHCP DNS, если они не требуются, и воздержаться от использования DnsUpdateProxy.
Исправления программного обеспечения от других поставщиков
Помимо Microsoft, за последние несколько недель другими поставщиками были выпущены обновления для системы безопасности, устраняющие несколько уязвимостей, в том числе —- Adobe
- Amazon Web Services
- Android
- Проекты Apache (включая Apache Struts)
- Apple
- Arm
- Atlassian
- Atos
- Cisco
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Google Chromecast
- Google Cloud
- Google Wear OS
- Hikvision
- Hitachi Energy
- HP
- IBM
- Дженкинс
- Lenovo
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat, SUSE и Ubuntu
- MediaTek (включая 5Ghoul)
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR и Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm (включая 5Ghoul)
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Sophos (исправление для CVE-2022-3236 перенесено в неподдерживаемые версии брандмауэра Sophos)
- Spring Framework
- Veritas
- VMware
- WordPress
- Масштабирование и
- Zyxel
