Microsoft исправила более полусотни уязвимостей, в том числе уязвимость нулевого дня

Во вторник, 9 февраля, компания Microsoft исправила более полусотни уязвимостей в своих продуктах, в том числе уязвимость нулевого дня, в рамках февральского «вторника исправлений».

Из 56 исправленных уязвимостей 11 обозначены как критические, две – как среднеопасные и 43 – как важные. Одна из уязвимостей является уязвимостью нулевого дня, получившей идентификатор CVE-2021-1732 . Проблема позволяет злоумышленникам или вредоносной программе повышать свои привилегии до уровня администратора.

Помимо уязвимости нулевого дня Microsoft исправила шесть ранее раскрытых проблем:

· CVE-2021-1721 – отказ в обслуживании в .NET Core и Visual Studio;

· CVE-2021-1727 – повышение привилегий в установщике Windows;

· CVE-2021-1733 – повышение привилегий в Sysinternals PsExec;

· CVE-2021-24098 – отказ в обслуживании в Windows Console Driver;

· CVE-2021-24106 – раскрытие информации в Windows DirectX;

· CVE-2021-26701 – удаленное выполнение кода в .NET Core.

Кроме того, была исправлена уязвимость CVE-2021-24105 в Azure Artifactory, обнаруженная исследователями безопасности в процессе осуществления PoC-атаки на Microsoft. Она позволяла злоумышленникам создавать вредоносные публичные библиотеки, имена которых совпадают с именами приватных библиотек, используемых внутренними приложениями компании. В процессе создания приложений менеджер пакетов вместо внутренних библиотек использует вредоносные и запускают атаку на цепочку поставок.