Microsoft исправила 71 уязвимость и три 0-day бага в своих продуктах - «Новости» » Основы Интернет

Microsoft исправила 71 уязвимость и три 0-day бага в своих продуктах - «Новости»

10:30, 13-мар-2022
Видео уроки / Изображения / Новости / Вёрстка / Текст / Интернет и связь / Преимущества стилей
Меланья
0

Одна из наиболее серьезных проблем этого месяца — RCE-уязвимость в Microsoft Exchange Server, получившая идентификатор CVE-2022-23277. Сообщается, что благодаря этому багу аутентифицированный пользователь может «запустить вредоносный код в контексте учетной записи сервера посредством сетевого вызова». Эксперты Sophos Lab отмечают:

«Учитывая картину, которую мы недавно наблюдали в отношении атак на другие уязвимости Exchange, критическая степень серьезности и характер этой уязвимости делают эту ее требующей исправления как можно скорее».

Два других критических RCE-бага, исправленные в этом месяце, затрагивают Microsoft Video Extensions. Один из них, CVE-2022-24501, обнаружен в приложении VP9 Video Extensions, доступном в Microsoft Store. Злоумышленник может убедить пользователя открыть вредоносный видеофайл, что в итоге приведет к выполнению кода, спрятанного в видео. Точно так же CVE-2022-22006 представляет собой уязвимость удаленного выполнения кода в HEVC Video Extensions, которую можно использовать аналогичным образом.

Кроме того Microsoft выпустила исправления для ряда других продуктов, включая Office, Windows, Internet Explorer, Defender и Azure Site Recovery. Эксперты Zero Day Initiative, которые традиционно опубликовали разбор исправленных багов, выделяют среди них следующие:

CVE-2022-21990: удаленное выполнение кода. Можно захватить чужой ПК через RDP-клиент при подключении к вредоносному серверу. Подробности об этой уязвимости уже общедоступны и, по мнению Zero Day Initiative, ошибку следует рассматривать как критическую.

CVE-2022-24508: удаленное выполнение кода. Аутентифицированный пользователь может выполнять вредоносный код в Windows 10 версии 2004 и более поздних через SMBv3. Эту проблему эксперты тоже советуют считать критической.

CVE-2022-24512: удаленное выполнение кода в .NET и Visual Studio. Подробности об ошибке общедоступны.

Также следует отметить, что обновления для своих продуктов представили и другие крупнее компании, в том числе:

Google представила мартовские обновления безопасности для Android;

Cisco выпустила обновления для многих продуктов, включая Cisco Cisco FXOS и NX-OS, StarOS и Cisco Application Policy Infrastructure Controller;

Adobe исправила уязвимости, связанные с выполнением произвольного кода и утечкой памяти.

На этой неделе компания Microsoft выпустила мартовский набор патчей и устранила три уязвимости нулевого дня, в общей сложности исправив 71 уязвимость в своих продуктах (не считая 21 уязвимость в Microsoft Edge). Одна из наиболее серьезных проблем этого месяца — RCE-уязвимость в Microsoft Exchange Server, получившая идентификатор CVE-2022-23277. Сообщается, что благодаря этому багу аутентифицированный пользователь может «запустить вредоносный код в контексте учетной записи сервера посредством сетевого вызова». Эксперты Sophos Lab отмечают: «Учитывая картину, которую мы недавно наблюдали в отношении атак на другие уязвимости Exchange, критическая степень серьезности и характер этой уязвимости делают эту ее требующей исправления как можно скорее». Два других критических RCE-бага, исправленные в этом месяце, затрагивают Microsoft Video Extensions. Один из них, CVE-2022-24501, обнаружен в приложении VP9 Video Extensions, доступном в Microsoft Store. Злоумышленник может убедить пользователя открыть вредоносный видеофайл, что в итоге приведет к выполнению кода, спрятанного в видео. Точно так же CVE-2022-22006 представляет собой уязвимость удаленного выполнения кода в HEVC Video Extensions, которую можно использовать аналогичным образом. Кроме того Microsoft выпустила исправления для ряда других продуктов, включая Office, Windows, Internet Explorer, Defender и Azure Site Recovery. Эксперты Zero Day Initiative, которые традиционно опубликовали разбор исправленных багов, выделяют среди них следующие: CVE-2022-21990: удаленное выполнение кода. Можно захватить чужой ПК через RDP-клиент при подключении к вредоносному серверу. Подробности об этой уязвимости уже общедоступны и, по мнению Zero Day Initiative, ошибку следует рассматривать как критическую. CVE-2022-24508: удаленное выполнение кода. Аутентифицированный пользователь может выполнять вредоносный код в Windows 10 версии 2004 и более поздних через SMBv3. Эту проблему эксперты тоже советуют считать критической. CVE-2022-24512: удаленное выполнение кода в .NET и Visual Studio. Подробности об ошибке общедоступны. Также следует отметить, что обновления для своих продуктов представили и другие крупнее компании, в том числе: Google представила мартовские обновления безопасности для Android; Cisco выпустила обновления для многих продуктов, включая Cisco Cisco FXOS и NX-OS, StarOS и Cisco Application Policy Infrastructure Controller; Adobe исправила уязвимости, связанные с выполнением произвольного кода и утечкой памяти.