Microsoft исправила 6 активно эксплуатируемых уязвимостей нулевого дня

В ежемесячном отчете Microsoft об обновлениях безопасности «Вторник исправлений» было обнаружено 90 уязвимостей CVE, включая некоторые уязвимости, которые активно эксплуатировались.

Некоторые уязвимости возникли в Chromium, то есть могли быть затронуты как Microsoft Edge, так и Google Chrome. Вот наиболее критические уязвимости и исправления, раскрытые Microsoft 13 августа.

Было использовано шесть уязвимостей нулевого дня

Злоумышленники уже воспользовались шестью уязвимостями нулевого дня, в частности:

CVE-2024-38106: уязвимость повышения привилегий в ядре Windows. CVE-2024-38107: уязвимость повышения привилегий в координаторе зависимости питания Windows. CVE-2024-38178: удаленное выполнение кода могло быть возможным, если пользователь нажимал ссылку с помощью Edge в режиме Internet Explorer. CVE-2024-38189: открытие вредоносного файла Microsoft Office Project при определенных условиях могло привести к удаленному выполнению кода. CVE-2024-38193: уязвимость повышения привилегий, которая могла предоставить злоумышленнику привилегии SYSTEM. CVE-2024-38213: злоумышленник мог обойти защиту SmartScreen, всплывающую, когда пользователь загружает что-либо из Интернета.

SEE: Организациям может потребоваться оценить, как их политики конфиденциальности и хранения данных пересекаются с ИИ Copilot от Microsoft.

NIST обозначил две уязвимости как «критические»

Другие примечательные элементы в этом месяце Patch Tuesday были оценены как критические в соответствии с Общей системой оценки уязвимостей Национальной базы данных уязвимостей от NIST. Это были:

CVE-2024-38140: уязвимость удаленного выполнения кода, которая может возникнуть, если программа использует порт Pragmatic General Multicast для прослушивания. CVE-2024-38063: уязвимость удаленного выполнения кода, включаемая путем отправки повторяющихся вредоносных пакетов IPv6.

Другая уязвимость, CVE-2024-38202, примечательна тем, что Microsoft еще не выпустила исправление для нее. Чтобы смягчить эту уязвимость повышения привилегий в Центре обновления Windows, Редмонд рекомендует проводить аудит доступа пользователей к объектам, операциям и файлам.

Полные шаги по защите от этой уязвимости можно найти в разделе рекомендуемых действий в списке уязвимостей.

Группа уязвимостей берет свое начало в Chromium

Бизнес-пользователям по всему миру следует использовать самые последние версии Edge и Google Chrome, поскольку некоторые уязвимости возникают в программном обеспечении с открытым исходным кодом Chromium, используемом в обоих браузерах.

Соответствующие уязвимости Chrome и Chromium следующие:

MITRE CVE 7532: возможен доступ к памяти за пределами границ в ANGLE, слое графического движка в Chrome. MITRE CVE 7533: эксплойт «использование после освобождения» в Chrome в iOS. MITRE CVE 7534: переполнение буфера кучи в макете. MITRE CVE 7535: неподходящая реализация в V8. MITRE CVE 7536: эксплойт «использование после освобождения» в WebAudio. MITRE CVE 7550: путаница типов в V8. MITRE CVE 38218: уязвимость повреждения памяти на основе HTML в Microsoft Edge. MITRE CVE 38219: уязвимость удаленного выполнения кода в Microsoft Edge.

Злоумышленники могли потенциально использовать эти уязвимости для выполнения произвольного кода до того, как они были исправлены.

Напоминание: регулярно обновляйте браузеры и операционные системы.

Большинство уязвимостей, упомянутых в отчете об исправлениях, устранены в августовских обновлениях безопасности, поэтому единственное действие, которое нужно предпринять администраторам в ответ, — это следить за обновлениями.

Аналогичным образом, для устранения этих уязвимостей Chromium необходимо обновить Microsoft Edge или Google Chrome до последних версий.

В Edge проверьте, какая версия запущена, и найдите обновления, перейдя в меню «фрикаделька» (…) с правой стороны. Выберите «Справка» и «Обратная связь», затем выберите «Microsoft Edge».

В Chrome выберите «О Google Chrome» в строке меню или выберите меню-кебаб (три вертикальные точки) в правом верхнем углу окна. Оттуда выберите «Справка», затем «О Google Chrome».