Каждый второй вторник месяца, известный как «вторник исправлений», Microsoft выпускает плановые обновления безопасности для своих продуктов. 11 января компания выпустила очередную порцию патчей, в общей сложности исправляющих 96 уязвимостей, в том числе шесть ранее неизвестных, пишет SecurityLab.
В частности, были исправлены уязвимости, позволяющие злоумышленникам удаленно выполнять код, повышать свои привилегии, осуществлять спуфинг и проводить XSS-атаки. Проблемы затрагивают Microsoft Exchange Server, Office, Windows Defender, Windows Kernel, RDP, сервисы шифрования, сертификат Windows и Microsoft Teams.
Как уже упоминалось, были исправлены шесть уязвимостей, о которых ранее не сообщалось (ни одна из них пока не эксплуатировалась в реальных хакерских атаках):
CVE-2021-22947 – удаленное выполнение кода в ПО с открытым исходным кодом Curl, позволяющее осуществить атаку «человек посередине»;
CVE-2021-36976 – использование памяти после высвобождения в Libarchive, что может привести к удаленному выполнению кода;
CVE-2022-21874 – удаленное выполнение кода в Windows Security Center API RCE;
CVE-2022-21919 – повышение привилегий в Windows User Profile Service (уже существует PoC-эксплоит);
CVE-2022-21839 – отказ в обслуживании в Windows Event Tracing Discretionary Access Control List;
CVE-2022-21836 – спуфинг сертификата Windows (уже существует PoC-эксплоит).
24 уязвимости были исправлены в одном только Microsoft Edge на базе Chromium. Согласно Zero Day Initiative (ZDI), такое количество нехарактерно для января – в предыдущие годы число уязвимостей в браузере было вдвое меньше.
Microsoft также обновила систему уведомлений Security Update Guide. Отныне при регистрации принимаются не только Live ID, но и стандартные электронные адреса.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.