Основы Интернет - технологий.

На этой неделе компания Microsoft выпустила мартовский набор патчей и устранила три уязвимости нулевого дня, в общей сложности исправив 71 уязвимость в своих продуктах (не считая 21 уязвимость в Microsoft Edge). Одна из наиболее серьезных проблем этого месяца — RCE-уязвимость в Microsoft Exchange Server, получившая идентификатор CVE-2022-23277. Сообщается, что благодаря этому багу аутентифицированный пользователь может «запустить вредоносный код в контексте учетной записи сервера посредством сетевого вызова». Эксперты Sophos Lab отмечают: «Учитывая картину, которую мы недавно наблюдали в отношении атак на другие уязвимости Exchange, критическая степень серьезности и характер этой уязвимости делают эту ее требующей исправления как можно скорее». Два других критических RCE-бага, исправленные в этом месяце, затрагивают Microsoft Video Extensions. Один из них, CVE-2022-24501, обнаружен в приложении VP9 Video Extensions, доступном в Microsoft Store. Злоумышленник может убедить пользователя открыть вредоносный видеофайл, что в итоге приведет к выполнению кода, спрятанного в видео. Точно так же CVE-2022-22006 представляет собой уязвимость удаленного выполнения кода в HEVC Video Extensions, которую можно использовать аналогичным образом. Кроме того Microsoft выпустила исправления для ряда других продуктов, включая Office, Windows, Internet Explorer, Defender и Azure Site Recovery. Эксперты Zero Day Initiative, которые традиционно опубликовали разбор исправленных багов, выделяют среди них следующие: CVE-2022-21990: удаленное выполнение кода. Можно захватить чужой ПК через RDP-клиент при подключении к вредоносному серверу. Подробности об этой уязвимости уже общедоступны и, по мнению Zero Day Initiative, ошибку следует рассматривать как критическую. CVE-2022-24508: удаленное выполнение кода. Аутентифицированный пользователь может выполнять вредоносный код в Windows 10 версии 2004 и более поздних через SMBv3. Эту проблему эксперты тоже советуют считать критической. CVE-2022-24512: удаленное выполнение кода в .NET и Visual Studio. Подробности об ошибке общедоступны. Также следует отметить, что обновления для своих продуктов представили и другие крупнее компании, в том числе: Google представила мартовские обновления безопасности для Android; Cisco выпустила обновления для многих продуктов, включая Cisco Cisco FXOS и NX-OS, StarOS и Cisco Application Policy Infrastructure Controller; Adobe исправила уязвимости, связанные с выполнением произвольного кода и утечкой памяти.