Свежий Patch Tuesday бьёт все рекорды: 149 исправлений безопасности
Microsoft превзошла саму себя, активно латая дыры в Windows, Office, Azure и прочих продуктах.
В последнем обновлении безопасности Patch Tuesday, компания Microsoft заявила о рекордном количестве исправлений: 149 уязвимостей были устранены в таких продуктах как Windows, Office, Azure, .NET Framework, Visual Studio, SQL Server, DNS Server, Windows Defender, Bitlocker и Windows Seсure Boot.
Это самый большой выпуск исправлений компании с 2017 года, подчёркивает Дастин Чайлдс из Zero Day Initiative (ZDI). При этом, лишь три из обнаруженных в апреле уязвимостей получили наивысшую оценку опасности, когда как всего две были эксплуатированы в виде уязвимостей нулевого дня до выхода исправления.
Особое внимание вызвала уязвимость в Outlook для Windows — CVE-2024-20670 (CVSS: 8.1), позволяющая захватить пароль пользователя через мошенническую ссылку в электронном письме.
Кроме того, в Azure были обнаружены жёстко закодированные учётные данные, идентификатор уязвимости CVE-2024-29063 (CVSS: 7.3). Это поднимает вопросы безопасности в контексте недавних атак на искусственный интеллект.
В свою очередь, CVE-2024-29988 (CVSS: 8.8) демонстрирует возможность обхода Windows SmartScreen, что уже было использовано злоумышленниками в ходе реальных атак. Та же судьба коснулась и CVE-2024-26234 (CVSS: 6.7), представляющую собой уязвимость для подмены прокси-драйвера, которая также уже эксплуатировалась хакерами до исправления.
В целом, выпуск примечателен устранением 68 ошибок удалённого выполнения кода (RCE), 31 ошибки повышения привилегий, 26 ошибок обхода функций безопасности, а также 6 ошибок, связанных с отказом в обслуживании (DoS). Интересно, что 24 из 26 ошибок обхода безопасности связаны с функцией Secure Boot.
Ежемесячные обновления безопасности Microsoft подчёркивает важность постоянного внимания к уязвимостям программного обеспечения, особенно в критической инфраструктуре и технологиях, от которых зависит наша повседневная жизнь.
Хотя большинство выявленных уязвимостей были оперативно устранены, они демонстрируют уязвимость наших систем перед лицом изобретательных киберпреступников. Всё это должно побудить производителей программного обеспечения, экспертов по безопасности и конечных пользователей к ещё более бдительному и скоординированному подходу к обеспечению кибербезопасности.
Устали от того, что Интернет знает о вас все?