Microsoft отстрани 98 проблема със сигурността в различни свои продукти
Най-много проблеми са открити при даването на права в компютърните системи
Вчера Microsoft пусна още една кръпка за януари 2023 г., с която се поправя активно експлоатирана уязвимост от типа "нулев ден" и още 98 грешки, единадесет от които са класифицирани като "критични", тъй като позволяват отдалечено изпълнение на код, заобикаляне на функциите за сигурност или повишаване на привилегиите на потребителя в системата.
Microsoft Patch Tuesday е неофициалният термин за деня, в който Microsoft пуска актуализации на своите продукти, включително Windows и Office. Това е график, който Microsoft следва от 2003 г. насам като по часовник. Подобно на всеки друг софтуер, екипът на Windows открива свой собствен набор от уязвимости и Microsoft пуска пачове за тях всеки втори вторник.
Тази актуализация поправя активно експлоатираната уязвимост от типа нулев ден "CVE-2023-21674 - Windows Advanced Local procedure Call (ALPC) за неоторизиран достъп". "Нападател, който успешно се възползва от тази уязвимост, може да получи привилегии в системата" - се обяснява в бюлетина на Microsoft.
Въпреки че Microsoft е класифицирала друга уязвимост "CVE-2023-21549 - Windows SMB Witness Service Elevation of Privilege Service" като публично разкрита, изследователят по сигурността на Akamai Стив Купчик казва, че според нормалния процес на разкриване тази уязвимост не може да бъде класифицирана по този начин.
Броят на уязвимостите, затворени последните "кръпки", по категории:
- 39 - Увеличаване на правата;
- 4 - Заобикаляне на функциите за сигурност;
- 33 - Изпълнение на отдалечен код;
- 10 - Оповестявания;
- 10 - Отказ от обслужване;
- 2 - Подправяне (фалшифициране на данни).