Microsoft превзошла саму себя, активно латая дыры в Windows, Office, Azure и прочих продуктах.
В последнем обновлении безопасности Patch Tuesday , компания Microsoft заявила о рекордном количестве исправлений: 149 уязвимостей Для просмотра ссылки Войдиили Зарегистрируйся в таких продуктах как Windows, Office, Azure, .NET Framework, Visual Studio, SQL Server, DNS Server, Windows Defender, Bitlocker и Windows Seсure Boot.
Это самый большой выпуск исправлений компании с 2017 года, подчёркивает Дастин Чайлдс из Zero Day Initiative ( ZDI ). При этом, лишь три из обнаруженных в апреле уязвимостей получили наивысшую оценку опасности, когда как всего две были эксплуатированы в виде уязвимостей нулевого дня до выхода исправления.
Особое внимание вызвала уязвимость в Outlook для Windows — Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 8.1), позволяющая захватить пароль пользователя через мошенническую ссылку в электронном письме.
Кроме того, в Azure были обнаружены жёстко закодированные учётные данные, идентификатор уязвимости Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 7.3). Это поднимает вопросы безопасности в контексте недавних атак на искусственный интеллект.
В свою очередь, Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 8.8) демонстрирует возможность обхода Windows SmartScreen, что уже было использовано злоумышленниками в ходе реальных атак. Та же судьба коснулась и Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 6.7), представляющую собой уязвимость для подмены прокси-драйвера, которая также уже эксплуатировалась хакерами до исправления.
В целом, выпуск примечателен устранением 68 ошибок удалённого выполнения кода (RCE), 31 ошибки повышения привилегий, 26 ошибок обхода функций безопасности, а также 6 ошибок, связанных с отказом в обслуживании (DoS). Интересно, что 24 из 26 ошибок обхода безопасности связаны с функцией Secure Boot .
Ежемесячные обновления безопасности Microsoft подчёркивает важность постоянного внимания к уязвимостям программного обеспечения, особенно в критической инфраструктуре и технологиях, от которых зависит наша повседневная жизнь.
Хотя большинство выявленных уязвимостей были оперативно устранены, они демонстрируют уязвимость наших систем перед лицом изобретательных киберпреступников. Всё это должно побудить производителей программного обеспечения, экспертов по безопасности и конечных пользователей к ещё более бдительному и скоординированному подходу к обеспечению кибербезопасности.
В последнем обновлении безопасности Patch Tuesday , компания Microsoft заявила о рекордном количестве исправлений: 149 уязвимостей Для просмотра ссылки Войди
Это самый большой выпуск исправлений компании с 2017 года, подчёркивает Дастин Чайлдс из Zero Day Initiative ( ZDI ). При этом, лишь три из обнаруженных в апреле уязвимостей получили наивысшую оценку опасности, когда как всего две были эксплуатированы в виде уязвимостей нулевого дня до выхода исправления.
Особое внимание вызвала уязвимость в Outlook для Windows — Для просмотра ссылки Войди
Кроме того, в Azure были обнаружены жёстко закодированные учётные данные, идентификатор уязвимости Для просмотра ссылки Войди
В свою очередь, Для просмотра ссылки Войди
В целом, выпуск примечателен устранением 68 ошибок удалённого выполнения кода (RCE), 31 ошибки повышения привилегий, 26 ошибок обхода функций безопасности, а также 6 ошибок, связанных с отказом в обслуживании (DoS). Интересно, что 24 из 26 ошибок обхода безопасности связаны с функцией Secure Boot .
Ежемесячные обновления безопасности Microsoft подчёркивает важность постоянного внимания к уязвимостям программного обеспечения, особенно в критической инфраструктуре и технологиях, от которых зависит наша повседневная жизнь.
Хотя большинство выявленных уязвимостей были оперативно устранены, они демонстрируют уязвимость наших систем перед лицом изобретательных киберпреступников. Всё это должно побудить производителей программного обеспечения, экспертов по безопасности и конечных пользователей к ещё более бдительному и скоординированному подходу к обеспечению кибербезопасности.
- Источник новости
- www.securitylab.ru