Корпорація Microsoft випустила виправлення за січень 2024 року, яке включає оновлення системи безпеки для загалом 49 недоліків і 12 вразливостей у віддаленому виконанні коду. Про це повідомляє BleepingComputer.
Лише дві вразливості були класифіковані як критичні. Одна з них – обхід функції безпеки Windows Kerberos, а друга – Hyper-V RCE.
Нижче наведено кількість помилок у кожній категорії вразливості:
- 10 вразливостей щодо підвищення привілеїв.
- 7 вразливостей обходу функції безпеки.
- 12 вразливостей віддаленого виконання коду.
- 11 вразливостей розкриття інформації.
- 6 вразливостей відмови в обслуговуванні.
- 3 вразливості підробки.
Загальна кількість 49 недоліків не включає чотири помилки Microsoft Edge, виправлені 5 січня.
Незважаючи на те, що цього місяця не було активно використовуваних або публічно розкритих вразливостей, деякі недоліки цікавіші за інші.
Зокрема, корпорація Microsoft виправляє вразливість Office Remote Code Execution Vulnerability, відстежувану як CVE-2024-20677, яка дає змогу учасникам загрози створювати документи Office із вбудованими файлами 3D-моделі FBX для віддаленого виконання коду.
«У FBX існує вразливість безпеки, яка може призвести до віддаленого виконання коду. Щоб пом’якшити цю вразливість, можливість вставляти файли FBX була вимкнена у Word, Excel, PowerPoint і Outlook для Windows і Mac. Версії Office, у яких була увімкнена ця функція, більше не матимуть до неї доступу. Це стосується Office 2019, Office 2021, Office LTSC для Mac 2021 і Microsoft 365», – пояснюється у бюлетені служби безпеки Microsoft.
3D-моделі в документах Office, які раніше були вставлені з файлу FBX, продовжуватимуть працювати належним чином, якщо під час вставки не було вибрано параметр «Посилання на файл».
Також було виправлено критичну помилку Windows Kerberos, відстежувану як CVE-2024-20674, що дало змогу зловмиснику обійти функцію автентифікації.
«Неавтентифікований зловмисник може використати цю вразливість, встановивши MITM або інший метод підробки локальної мережі, а потім надіслати зловмисне повідомлення Kerberos на комп’ютер-жертву клієнта, щоб підробити себе як сервер автентифікації Kerberos», – зазначено у бюлетені.
Переглянути повний звіт про виправлення можна тут.
Раніше ProIT розповідав, що патч Microsoft за грудень виправляє 34 вразливості й 1 zero-day.
Також ми повідомляли, що хакери намагалися вкрасти 900 ГБ даних Ubisoft.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!