Microsoft устранила в общей сложности 48 недостатков безопасности, охватывающих ее программное обеспечение, в рамках выпуска обновлений Patch Tuesday за январь 2024 года.
Из 48 ошибок две оценены как критические, а 46 - как важные по степени серьезности. Нет никаких доказательств того, что какая-либо из проблем была общедоступной или подвергалась активной атаке на момент выпуска, что делает это второе исправление подряд во вторник без нулевых дней.
Исправления являются дополнением к девяти уязвимостям системы безопасности, которые были устранены в браузере Edge на базе Chromium с момента выпуска исправлений за вторник за декабрь 2023 года. Сюда также входит исправление для нулевого дня (CVE-2023-7024, оценка CVSS: 8,8), который, по словам Google, активно использовался в дикой природе.
Наиболее критичными среди исправленных в этом месяце недостатков являются следующие -
"Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, организовав атаку "машина посередине" (MitM) или другой метод подмены локальной сети, а затем отправив вредоносное сообщение Kerberos на клиентский компьютер-жертву, чтобы выдать себя за сервер проверки подлинности Kerberos".
Однако компания отметила, что для успешной эксплуатации злоумышленнику необходимо сначала получить доступ к сети с ограниченным доступом. Исследователю безопасности ldwilmore34 приписывают обнаружение уязвимости и сообщение о ней.
CVE-2024-20700, с другой стороны, не требует ни аутентификации, ни взаимодействия с пользователем для обеспечения удаленного выполнения кода, хотя победа в условиях гонки является необходимым условием для организации атаки.
"Неясно, где именно должен находиться злоумышленник — в локальной сети, в которой находится гипервизор, или в виртуальной сети, созданной гипервизором и управляемой им, или в каком контексте будет происходить удаленное выполнение кода", — сказал The Hacker News Адам Барнетт, ведущий инженер-программист Rapid7.
Другие заметные недостатки включают CVE-2024-20653 (оценка CVSS: 7,8), уязвимость с повышением привилегий, влияющую на драйвер Common Log File System (CLFS), и CVE-2024-0056 (оценка CVSS: 8,7), обход системы безопасности, влияющий на System.Data.SqlClient и Microsoft.Data.SqlClient.
"Злоумышленник, успешно воспользовавшийся этой уязвимостью, мог осуществить атаку "машина посередине" (MitM) и мог расшифровать, прочитать или изменить трафик TLS между клиентом и сервером", - сказал Редмонд о CVE-2024-0056.
Далее Microsoft отметила, что отключает возможность вставки файлов формата FBX в Word, Excel, PowerPoint и Outlook в Windows по умолчанию из-за уязвимости в системе безопасности (CVE-2024-20677, оценка CVSS: 7,8), которая может привести к удаленному выполнению кода.
"3D-модели в документах Office, которые ранее были вставлены из файла FBX, будут продолжать работать должным образом, если во время вставки не была выбрана опция "Ссылка на файл"", - говорится в отдельном предупреждении Microsoft. "GLB (двоичный формат передачи GL) является рекомендуемой заменой формата 3D-файла для использования в Office".
Стоит отметить, что Microsoft предприняла аналогичный шаг по отключению формата файлов SketchUp (SKP) в Office в прошлом году после того, как Zscaler обнаружила 117 уязвимостей в системе безопасности в приложениях Microsoft 365.
Из 48 ошибок две оценены как критические, а 46 - как важные по степени серьезности. Нет никаких доказательств того, что какая-либо из проблем была общедоступной или подвергалась активной атаке на момент выпуска, что делает это второе исправление подряд во вторник без нулевых дней.
Исправления являются дополнением к девяти уязвимостям системы безопасности, которые были устранены в браузере Edge на базе Chromium с момента выпуска исправлений за вторник за декабрь 2023 года. Сюда также входит исправление для нулевого дня (CVE-2023-7024, оценка CVSS: 8,8), который, по словам Google, активно использовался в дикой природе.
Наиболее критичными среди исправленных в этом месяце недостатков являются следующие -
- CVE-2024-20674 (оценка CVSS: 9.0) - уязвимость обхода функции безопасности Windows Kerberos
- CVE-2024-20700 (оценка CVSS: 7.5) - уязвимость удаленного выполнения кода Windows Hyper-V.
"Злоумышленник, прошедший проверку подлинности, может воспользоваться этой уязвимостью, организовав атаку "машина посередине" (MitM) или другой метод подмены локальной сети, а затем отправив вредоносное сообщение Kerberos на клиентский компьютер-жертву, чтобы выдать себя за сервер проверки подлинности Kerberos".
Однако компания отметила, что для успешной эксплуатации злоумышленнику необходимо сначала получить доступ к сети с ограниченным доступом. Исследователю безопасности ldwilmore34 приписывают обнаружение уязвимости и сообщение о ней.
CVE-2024-20700, с другой стороны, не требует ни аутентификации, ни взаимодействия с пользователем для обеспечения удаленного выполнения кода, хотя победа в условиях гонки является необходимым условием для организации атаки.
"Неясно, где именно должен находиться злоумышленник — в локальной сети, в которой находится гипервизор, или в виртуальной сети, созданной гипервизором и управляемой им, или в каком контексте будет происходить удаленное выполнение кода", — сказал The Hacker News Адам Барнетт, ведущий инженер-программист Rapid7.
Другие заметные недостатки включают CVE-2024-20653 (оценка CVSS: 7,8), уязвимость с повышением привилегий, влияющую на драйвер Common Log File System (CLFS), и CVE-2024-0056 (оценка CVSS: 8,7), обход системы безопасности, влияющий на System.Data.SqlClient и Microsoft.Data.SqlClient.
"Злоумышленник, успешно воспользовавшийся этой уязвимостью, мог осуществить атаку "машина посередине" (MitM) и мог расшифровать, прочитать или изменить трафик TLS между клиентом и сервером", - сказал Редмонд о CVE-2024-0056.
Далее Microsoft отметила, что отключает возможность вставки файлов формата FBX в Word, Excel, PowerPoint и Outlook в Windows по умолчанию из-за уязвимости в системе безопасности (CVE-2024-20677, оценка CVSS: 7,8), которая может привести к удаленному выполнению кода.
"3D-модели в документах Office, которые ранее были вставлены из файла FBX, будут продолжать работать должным образом, если во время вставки не была выбрана опция "Ссылка на файл"", - говорится в отдельном предупреждении Microsoft. "GLB (двоичный формат передачи GL) является рекомендуемой заменой формата 3D-файла для использования в Office".
Стоит отметить, что Microsoft предприняла аналогичный шаг по отключению формата файлов SketchUp (SKP) в Office в прошлом году после того, как Zscaler обнаружила 117 уязвимостей в системе безопасности в приложениях Microsoft 365.
Исправления программного обеспечения от других поставщиков
Помимо Microsoft, за последние несколько недель другими поставщиками были выпущены обновления для системы безопасности, устраняющие несколько уязвимостей, в том числе -- Adobe
- AMD
- Android
- Arm
- ASUS
- Bosch
- Cisco
- Dell
- F5
- Fortinet
- Google Chrome
- Google Cloud
- HP
- IBM
- Intel
- Lenovo
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat, SUSE и Ubuntu
- MediaTek
- NETGEAR
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- Trend Micro
- Zimbra и
- Zoom
