60 дыр безопасности закрыты в рамках очередного Patch Tuesday

В рамках ежемесячного обновления безопасности, известного как Patch Tuesday , компания Microsoft выпустила исправления для 60 уязвимостей, среди которых выделяются 18 уязвимостей удалённого выполнения кода. Особое внимание также было уделено исправлению двух критических ошибок, связанных с удалённым выполнением кода и отказом в обслуживании в Hyper-V.

Количество исправленных уязвимостей в каждой категории указано ниже

• 24 уязвимости повышения привилегий;
• 3 уязвимости обхода системы безопасности;
• 18 уязвимостей удалённого выполнения кода;
• 6 уязвимостей раскрытия информации;
• 6 уязвимостей отказа в обслуживании;
• 2 уязвимости спуфинга данных.

Отметим, что в этот раз компания не сообщала об устранении уязвимостей нулевого дня. Кроме того, исправление не включает 4 уязвимости в Microsoft Edge, которые были исправлены ранее, 7 марта.

Тем не менее, из общего перечня уязвимостей стоит особенно выделить следующие:

• CVE-2024-21400: уязвимость в Azure Kubernetes Service, позволяющая злоумышленникам повысить свои привилегии и похитить учётные данные.
• CVE-2024-26199: уязвимость в Microsoft Office, позволяющая любому аутентифицированному пользователю получить привилегии SYSTEM.
• CVE-2024-20671: уязвимость в Microsoft Defender, позволяющая обойти функцию безопасности и предотвратить запуск Defender.
• CVE-2024-21411: уязвимость в Skype for Consumer, позволяющая выполнить удалённый код посредством мошеннической ссылки или изображения.

Кроме Microsoft в марте 2024 года обновления безопасности выпустили также другие крупные производители, включая AnyCubic, Apple, Cisco, Fortinet, Google, Intel, QNAP, SAP и VMware, устранив разнообразные уязвимости, от zero-day до критических.

Тем временем, с полным списком устранённых уязвимостей и их описаний можно ознакомиться на этой странице.