Основы Интернет - технологий.

В рамках августовского «вторника обновлений» компании Microsoft устранила 107 уязвимостей в своих продуктах. В их число вошла одна 0-day проблема в Windows Kerberos. В этом месяце были исправлены сразу тринадцать критических уязвимостей, девять из которых представляли собой уязвимости удаленного выполнения кода, три — уязвимости раскрытия информации и еще одна была связана с повышением привилегий. Напомним, что Microsoft относит к разряду 0-day те уязвимости, информация о которых была публично раскрыта до выхода патчей, а также проблемы, которые активно эксплуатируются в атаках. Единственная уязвимость нулевого дня в этом месяце, CVE-2025-53779 (7,2 балла по шкале CVSS), не использовалась в атаках, просто данные о ней появились раньше исправления. Дело в том, что 0-day баг был обнаружен специалистами Akamai, которые опубликовали отчет о проблеме еще в мае 2025 года. Microsoft сообщает, что уязвимость позволяла аутентифицированному злоумышленнику получить права администратора домена. «Относительный обход пути (relative path traversal) в Windows Kerberos позволяет авторизованному злоумышленнику повысить привилегии в сети», — поясняет Microsoft. Отмечается, что для эксплуатации этого дефекта атакующему потребуется иметь расширенный доступ к следующим атрибутам dMSA: msds-groupMSAMembership (позволяет пользователю использовать dMSA); msds-ManagedAccountPrecededByLink (злоумышленнику необходим доступ на запись к этому атрибуту, что позволит указать пользователя, от имени которого может действовать dMSA). Среди других проблем, исправленных в этом месяце, можно выделить следующие: CVE-2025-53767(10 баллов по шкале CVSS) — уязвимость Azure OpenAI, приводящая к повышению привилегий; CVE-2025-53766(9,8 балла по шкале CVSS) — уязвимость GDI , позволяющая удаленно выполнить код; CVE-2025-50165(9,8 балла по шкале CVSS) — уязвимость графического компонента Windows, делающая возможным удаленное выполнение кода; CVE-2025-53792(9,1 балла по шкале CVSS) — уязвимость портала Azure, приводящая к повышению привилегий; CVE-2025-53787(8,2 балла по шкале CVSS) — уязвимость раскрытия информации в Microsoft 365 Copilot BizChat.