В рамках мартовского вторника обновлений Microsoft выпустила более 60 патчей (плюс четыре уязвимости Microsoft Edge, исправленные 7 марта). Восемнадцать из исправленных уязвимостей позволяли удаленно выполнять произвольный код, однако в этом месяце не было устранено ни одной 0-day ошибки.

Патчи этого месяца исправили две критические уязвимости, CVE-2024-21407 и CVE-2024-21408: удаленное выполнение кода и отказ в обслуживании (DoS) в Hyper-V.

«Уязвимость [CVE-2024-21407] требует, чтобы аутентифицированный злоумышленник на гостевой ВМ отправлял специально подготовленные запросы файловых операций на ВМ, обращенные к аппаратным ресурсам, что может привести к удаленному выполнению кода на хост-сервере», — сообщают в Microsoft.

По словам компании, для успешной эксплуатации этой проблемы атакующий должен собрать информацию, специфичную для конкретной среды, и предпринять ряд дополнительных действий перед атакой.

Также отдельного внимания заслуживают следующие исправленные в этом месяце проблемы.

CVE-2024-21400 — уязвимость повышения привилегий в конфиденциальных контейнерах Microsoft Azure Kubernetes. Проблема позволяет злоумышленникам получить повышенные привилегии и похитить учетные данные.

«Злоумышленник, успешно воспользовавшийся этой уязвимостью, мог похитить учетные данные и повлиять на ресурсы, выходящие за рамки зоны безопасности, управляемой Azure Kubernetes Service Confidential Containers (AKSCC)», — поясняется в сообщении Microsoft.

CVE-2024-26199 — уязвимость повышения привилегий в Microsoft Office. Позволяет любому аутентифицированному пользователю получить привилегии SYSTEM.

«Любой аутентифицированный пользователь может воспользоваться этой уязвимостью. Для этого не требуются права администратора или другие повышенные привилегии», — пишут эксперты.

CVE-2024-20671 — уязвимость обхода защитных функций Microsoft Defender. Баг мог привести к тому, что аутентифицированный злоумышленник получал возможность предотвратить запуск Microsoft Defender.

Проблема устранена с помощью обновлений Windows Defender Antimalware Platform, которые автоматически устанавливаются на устройства под управлением Windows. Недостаток исправлен в версии 4.18.24010.12 Antimalware Platform.

CVE-2024-21334 — критическая RCE-уязвимость в Open Management Infrastructure (OMI). Позволяет удаленному неаутентифицированому злоумышленнику получить доступ к экземпляру OMI из интернета, отправить специально созданный запрос и спровоцировать user-after-free проблему.

CVE-2024-21411 — уязвимость удаленного выполнения кода в Skype for Consumer. Эксплуатировать эту проблему можно при помощи вредоносной ссылкой или изображения.

«Злоумышленник может воспользоваться уязвимостью, отправив пользователю вредоносную ссылку или вредоносное изображение через мгновенное сообщение, а затем убедив его кликнуть по этой ссылке или изображению», — сообщает Microsoft.

Помимо Microsoft патчи для своих продуктов на этой неделе опубликовали и другие компании, среди которых:

  • Adobe устранила 56 уязвимостей (включая критические) в Experience Manager, Premiere Pro, ColdFusion, Bridge, Lightroom и Animate. Ни одна из проблем не использовалась хакерами.
  • Intel выпустила восемь патчей для устранения 11 уязвимостей в своих аппаратных, встроенных и программных продуктах. Ни одна из них не является критической.
  • SAP опубликовала более десяти бюллетеней безопасности. Один из них описывает уязвимость внедрения кода с рейтингом 9,4 балла по шкале CVSS, которая проявляется в приложениях, созданных с помощью SAP Build Apps.
  • Cisco выпустила обновления для ряда своих продуктов, включая последний патч для проблемы CVE-2023-20214, впервые раскрытой еще в прошлом году. Этот баг позволял неаутентифицированному удаленному злоумышленнику получить разрешения на чтение и ограниченные права на запись в затронутом экземпляре Cisco SD-WAN vManage.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии