60 дыр безопасности закрыты в рамках очередного Patch Tuesday

В рамках ежемесячного обновления безопасности, известного как Patch Tuesday, компания Microsoft выпустила исправления для 60 уязвимостей, среди которых выделяются 18 уязвимостей удалённого выполнения кода. Особое внимание также было уделено исправлению двух критических ошибок, связанных с удалённым выполнением кода и отказом в обслуживании в Hyper-V.

Количество исправленных уязвимостей в каждой категории указано ниже

  • 24 уязвимости повышения привилегий;
  • 3 уязвимости обхода системы безопасности;
  • 18 уязвимостей удалённого выполнения кода;
  • 6 уязвимостей раскрытия информации;
  • 6 уязвимостей отказа в обслуживании;
  • 2 уязвимости спуфинга данных.

Отметим, что в этот раз компания не сообщала об устранении уязвимостей нулевого дня. Кроме того, исправление не включает 4 уязвимости в Microsoft Edge, которые были исправлены ранее, 7 марта.

Тем не менее, из общего перечня уязвимостей стоит особенно выделить следующие:

  • CVE-2024-21400: уязвимость в Azure Kubernetes Service, позволяющая злоумышленникам повысить свои привилегии и похитить учётные данные.
  • CVE-2024-26199: уязвимость в Microsoft Office, позволяющая любому аутентифицированному пользователю получить привилегии SYSTEM.
  • CVE-2024-20671: уязвимость в Microsoft Defender, позволяющая обойти функцию безопасности и предотвратить запуск Defender.
  • CVE-2024-21411: уязвимость в Skype for Consumer, позволяющая выполнить удалённый код посредством мошеннической ссылки или изображения.

Кроме Microsoft в марте 2024 года обновления безопасности выпустили также другие крупные производители, включая AnyCubic, Apple, Cisco, Fortinet, Google, Intel, QNAP, SAP и VMware, устранив разнообразные уязвимости, от zero-day до критических.

Тем временем, с полным списком устранённых уязвимостей и их описаний можно ознакомиться на этой странице.

Public Release.