Сегодня 08 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft исправила пять уязвимостей нулевого дня и десятки других проблем с безопасностью Windows

Microsoft выпустила обновление безопасности для операционных систем Windows. В этот раз компания закрыла 79 уязвимостей, большинство из которых относятся к категориям «критическая» и «высокий риск». По словам Microsoft, четыре уязвимости из этого списка уже эксплуатируются в реальных условиях, поэтому компания советует скачать обновление безопасности как можно скорее.

 Источник изображения: geralt / Pixabay

Источник изображения: geralt / Pixabay

Большинство уязвимостей (67) встречаются на разных версиях Windows, включая Windows 10, Windows 11 и Windows Server. Версии Windows 7 и 8.1 больше не отображаются в отчётах безопасности Microsoft, но они также потенциально могут быть подвержены риску. При отсутствии веских причин, всё же следует рассмотреть возможность обновления до Windows 10 (22H2) или Windows 11 (23H2), чтобы продолжать получать актуальные обновления безопасности, отмечает Microsoft. Правда, следует помнить, что поддержка Windows 10 прекратится в 2025 году.

Последний патч безопасности также включает некоторые обновления для Windows 11 24H2, однако указанное крупное обновление операционной системы, чей выпуск ожидается этой осенью, по-прежнему проходит тестирование в рамках программы Windows Insider и пока недоступно для всех пользователей Windows 11.

Закрытые уязвимости нулевого дня

Как уже отмечалось выше, несколько уязвимостей безопасности уже эксплуатируются в реальных атаках. На данный момент идут споры о том, активно ли применяется одна из них, а именно CVE-2024-43461. Microsoft не предоставила дополнительную информацию об этих уязвимостях нулевого дня в своём последнем отчёте безопасности, однако о них рассказал эксперт по кибербезопасности Дастин Чайлдс (Dustin Childs) в блоге Zero Day Initiative. Чайлдс утверждает, что специалисты нашли уязвимость, позволяющую использовать поддельные данные. Об этом они сообщили в Microsoft, однако компания не включила её в список уязвимостей, которые используются в реальных условиях.

Ниже в таблице отмечены самые опасные уязвимости безопасности в отчёте Patch Day от Microsoft за сентябрь 2024 года. Примечание: RCE: Remote Code Execution — удалённое выполнение кода; EoP: Elevation of Privilege — повышение привилегий доступа; SFB: Security Feature Bypass — обход функций безопасности. Красным в таблице отмечены уязвимости, которые уже эксплуатируются в реальных условиях.

По словам Microsoft, уязвимость CVE-2024-38217 (обход функций безопасности) не только эксплуатируется, но и была известна заранее. Эта уязвимость затрагивает функцию Mark of the Web (MotW) в загруженных файлах, что позволяет обходить защитные механизмы.

Что касается CVE-2024-43491, то это единственная уязвимость, связанная с удалённым выполнением кода (RCE) среди четырех уязвимостей нулевого дня. Она влияет только на некоторые старые версии Windows 10 и может быть устранена только путём установки обновления KB5043936, а затем установки обновления KB5043083. Microsoft заявляет, что более новые версии Windows 10 не подвержены этой уязвимости.

Уязвимость CVE-2024-38014 (угроза повышения привилегий, EoP) существует в установщике Windows для всех поддерживаемых в настоящее время версий Windows, включая серверные выпуски. Злоумышленник используя эту уязвимость, может получить системные разрешения без взаимодействия с пользователем. Точный механизм неясен, но обычно злоумышленники объединяют уязвимости EoP с уязвимостями RCE для удаленного запуска вредоносного кода.

Другие критические уязвимости Windows

В отчёте также указаны несколько критических уязвимостей, одна из которых связана c Windows. Эти уязвимости пока не эксплуатировались в реальных условиях. RCE-уязвимость CVE-2024-38119 связана с функцией Network Address Translation (NAT) и требует, чтобы злоумышленник находился в той же сети, что и жертва. Это связано с тем, что NAT, как правило, не поддерживает маршрутизацию, что означает, что её нельзя эксплуатировать за пределами границы сети.

С Windows Remote Desktop Services связано семь уязвимостей, включая четыре уязвимости RCE (удалённое выполнение кода). Также в отчёте указаны по одной уязвимости в Microsoft Management Console (CVE-2024-38259) и Power Automate для десктопов (CVE-2024-43479).

Уязвимости Microsoft Office

Новый патч безопасности также исправляет 11 уязвимостей, связанных с продуктами Microsoft Office, включая одну уязвимость нулевого дня и две критические. Уязвимость обхода функций безопасности (CVE-2024-38226) была обнаружена неизвестным исследователем безопасности в Microsoft Publisher. Злоумышленники сразу же начали её эксплуатировать. Как сообщается, для этого злоумышленнику необходимо убедить пользователя открыть специально подготовленный файл в Publisher. В случае успеха макросы Office обходят правила и выполняется вредоносный код.

Microsoft также выделила две RCE-уязвимости в SharePoint Server (CVE-2024-38018, CVE-2024-43464), как «критические». Ещё одна RCE-уязвимость (CVE-2024-38227) в SharePoint Server и одна в Visio (CVE-2024-43463) отмечены, как «обладающие высоким риском».

Уязвимости SQL Server

В SQL Server было закрыто 13 проблем безопасности. Шесть из них относились к RCE-уязвимостям с рейтингом CVSS 8.8. Также компания закрыла три EoP-уязвимости и четыре утечки данных.

Обновления браузеров

Последнее обновление безопасности для браузера Microsoft Edge — версия 128.0.2739.63 от 3 сентября на основе Chromium 128.0.6613.120. Однако оно пока не появилось в отчёте по обновлению безопасности. Обновление Edge 128.0.2739.67 от 5 сентября исправляет только несколько ошибок. Google выпустила новое обновление безопасности Chrome 10 сентября. Оно закрывает несколько уязвимостей с высоким риском.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В Steam открылось тестирование Valor Mortis от разработчиков Ghostrunner — ролевого боевика от первого лица в духе Dark Souls и BioShock 22 мин.
Самое большое дополнение в истории Crusader Kings 3 не заставит себя долго ждать — дата выхода и новый трейлер All Under Heaven 2 ч.
Изгнанные Маском без выходного пособия топ-менеджеры Twitter добились «справедливости» через суд 3 ч.
Ninja Gaiden 4, Baldur’s Gate, новая игра от создателей Psychonauts и многое другое: Microsoft раскрыла первые новинки Game Pass после подорожания 3 ч.
«Билайн Big Data & AI» и IVA Technologies займутся совместной разработкой ИИ-продуктов 4 ч.
«Интернет — не свалка для негатива»: в китайских соцсетях массово банят пессимистов 4 ч.
Еврокомиссия выделит €1 млрд на внедрение ИИ в десяти отраслях 5 ч.
Демоны, титаны и невообразимые ужасы: новый геймплейный трейлер Painkiller показал, почему в чистилище веселее с друзьями 5 ч.
Российский рынок IaaS и PaaS отметился 30-проценным ростом с начала года 6 ч.
Beeline Cloud представил комплексное решение для работы с «1С» в защищённом облаке 8 ч.
Нобелевскую премию по химии за 2025 года присудили за открытие «домика для молекул» 2 ч.
Synology отменила запрет на жёсткие диски WD и Seagate в своих новых NAS 3 ч.
Sennheiser представила наушники HDB 630 — «первый беспроводной продукт для аудиофилов» 3 ч.
AOC представила 27- и 32-дюймовые игровые мониторы на Fast IPS с разрешением до 4K и частотой до 320 Гц 4 ч.
Дженсен Хуанг «удивился» условиям сделки между AMD и OpenAI, но назвал её «хитрым ходом» 4 ч.
Сатья Наделла, Дженсен Хуанг и Майкл Делл спасли нового главу Intel от быстрой отставки 4 ч.
Google намерена построить до шести ЦОД рядом с остановленной АЭС DAEC в Айове, которую хотят перезапустить 4 ч.
Струйно-перовскитные технологии Ricoh снимут Японию с иглы зависимости от китайских солнечных панелей 5 ч.
Samsung получит шанс взять реванш над SK hynix благодаря сделке OpenAI и AMD 5 ч.
Китайские поставщики кремниевых пластин скоро начнут вытеснять мировых лидеров 6 ч.