Вторник обновлений Microsoft за декабрь 2023 года включает обновления безопасности для 34 недостатков и одной уязвимости нулевого дня в процессорах AMD.
Хотя 8 уязвимостей удаленного выполнения кода (Remote Code Execution, RCE) были исправлены, Microsoft оценила только 3 как “критические”. Всего было обнаружено 4 критических уязвимости: одна в Power Platform (Спуфинг), две в Internet Connection Sharing (RCE) и одна в платформе Windows MSHTML (RCE).
Ниже указано количество ошибок в каждой категории уязвимостей:
- 10 уязвимостей, связанных с повышением привилегий;
- 8 уязвимостей удаленного выполнения кода;
- 6 уязвимостей раскрытия информации;
- 5 уязвимостей отказа в обслуживании (Denial of Service, DoS);
- 5 уязвимостей спуфинга.
Больше информации об обновлениях, не связанных с безопасностью, выпущенных во вторник исправлений, вы можете просмотреть на страницах накопительного обновления Windows 11 KB5033375 и накопительного обновления Windows 10 KB5033372 .
Публично раскрытая уязвимость нулевого дня
Во вторник исправлений в декабре Microsoft исправляет одну уязвимость нулевого дня в затронутых процессорах AMD, обнаруженную в августе, которая ранее оставалась не исправленной.
CVE-2023-20588(CVSS: 5.5) – уязвимость, связанная с ошибкой деления на ноль в определенных процессорах AMD, которая раскрывает конфиденциальные данные. Ошибка была обнаружена в августе 2023 года, при этом AMD не предоставила никаких исправлений, кроме рекомендацийпо устранению.
Разработчики могут смягчить проблему, убедившись, что никакие привилегированные данные не используются в операциях разделения до изменения границ привилегий. AMD считает, что потенциальное воздействие уязвимости невелико, поскольку для нее требуется локальный доступ.
На этой странице, подготовленной изданием BleepingComputer , приведен полный список уязвимостей, устраненных в обновлениях вторника исправлений за декабрь 2023 г.