Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Microsoft выпустила свои обновления для исправлений за октябрь 2023 года, устраняющие в общей сложности 103 дефекта в своем программном обеспечении, два из которых активно эксплуатировались в дикой природе.
Из 103 уязвимостей 13 оценены как критические, а 90 - как важные по степени серьезности. Это не считая 18 уязвимостей в системе безопасности, устраненных в браузере Edge на базе Chromium со второго вторника сентября.
Ниже приведены две уязвимости, которые были применены в качестве оружия нулевого дня -
"Кроме того, злоумышленник может убедить локального пользователя открыть вредоносный файл. Злоумышленнику придется убедить пользователя перейти по ссылке, обычно с помощью соблазна в электронном письме или мгновенном сообщении, а затем убедить их открыть специально созданный файл ".
Также Redmond исправил десятки ошибок, влияющих на очередь сообщений Microsoft (MSMQ) и протокол туннелирования уровня 2, которые могли приводить к удаленному выполнению кода и отказу в обслуживании (DoS).
Обновление для системы безопасности дополнительно устраняет серьезную ошибку повышения привилегий в Windows IIS Server (CVE-2023-36434, оценка CVSS: 9,8), которая могла позволить злоумышленнику выдавать себя за другого пользователя и входить в систему с помощью атаки методом перебора.
Технический гигант также выпустил обновление для CVE-2023-44487, также известное как атака быстрого сброса HTTP / 2, которая была использована неизвестными субъектами в качестве нулевого дня для организации гиперволюметрических распределенных атак типа "отказ в обслуживании" (DDoS).
"Хотя этот DDoS потенциально может повлиять на доступность сервисов, сам по себе он не приводит к компрометации клиентских данных, и на данный момент мы не видели никаких доказательств компрометации клиентских данных", - говорится в сообщении.
Наконец, Microsoft объявила, что Visual Basic Script (он же VBScript), который часто используется для распространения вредоносных программ, устарел, добавив: "в будущих выпусках Windows VBScript будет доступен как функция по требованию до его удаления из операционной системы".
Из 103 уязвимостей 13 оценены как критические, а 90 - как важные по степени серьезности. Это не считая 18 уязвимостей в системе безопасности, устраненных в браузере Edge на базе Chromium со второго вторника сентября.
Ниже приведены две уязвимости, которые были применены в качестве оружия нулевого дня -
- CVE-2023-36563 (оценка CVSS: 6,5) - уязвимость в Microsoft WordPad, связанная с раскрытием информации, которая может привести к утечке хэшей NTLM
- CVE-2023-41763 (оценка CVSS: 5.3) - Уязвимость для повышения привилегий в Skype для бизнеса, которая может привести к раскрытию конфиденциальной информации, такой как IP-адреса или номера портов (или и то, и другое), позволяя субъектам угрозы получить доступ к внутренним сетям
"Кроме того, злоумышленник может убедить локального пользователя открыть вредоносный файл. Злоумышленнику придется убедить пользователя перейти по ссылке, обычно с помощью соблазна в электронном письме или мгновенном сообщении, а затем убедить их открыть специально созданный файл ".
Также Redmond исправил десятки ошибок, влияющих на очередь сообщений Microsoft (MSMQ) и протокол туннелирования уровня 2, которые могли приводить к удаленному выполнению кода и отказу в обслуживании (DoS).
Обновление для системы безопасности дополнительно устраняет серьезную ошибку повышения привилегий в Windows IIS Server (CVE-2023-36434, оценка CVSS: 9,8), которая могла позволить злоумышленнику выдавать себя за другого пользователя и входить в систему с помощью атаки методом перебора.
Технический гигант также выпустил обновление для CVE-2023-44487, также известное как атака быстрого сброса HTTP / 2, которая была использована неизвестными субъектами в качестве нулевого дня для организации гиперволюметрических распределенных атак типа "отказ в обслуживании" (DDoS).
"Хотя этот DDoS потенциально может повлиять на доступность сервисов, сам по себе он не приводит к компрометации клиентских данных, и на данный момент мы не видели никаких доказательств компрометации клиентских данных", - говорится в сообщении.
Наконец, Microsoft объявила, что Visual Basic Script (он же VBScript), который часто используется для распространения вредоносных программ, устарел, добавив: "в будущих выпусках Windows VBScript будет доступен как функция по требованию до его удаления из операционной системы".
Исправления программного обеспечения от других поставщиков
Помимо Microsoft, с начала месяца другими поставщиками были выпущены обновления для системы безопасности, устраняющие несколько уязвимостей, в том числе —- Adobe
- AMD
- Android
- Проекты Apache
- Apple
- Aruba Networks
- Arm
- Atlassian
- Atos
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Juniper Networks
- Lenovo
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat, SUSE и Ubuntu
- MediaTek
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR и Thunderbird
- Qualcomm
- Samba
- Samsung
- SAP
- Schneider Electric
- Siemens
- Sophos и
- VMware
