Только две исправленные уязвимости получили наивысший рейтинг опасности — «Критический». Одна из них связана с обходом защитных функций Windows Kerberos, а вторая является уязвимостью удаленного выполнения кода в Hyper-V.
Классификация уязвимостей по типу:
- 10 уязвимостей повышения привилегий
- 7 уязвимостей обхода функций безопасности
- 12 уязвимостей удаленного выполнения кода
- 11 уязвимостей раскрытия информации
- 6 уязвимостей отказа в обслуживании
- 3 уязвимости спуфинга
В общее количество исправленных проблем не входят 4 уязвимости Microsoft Edge, исправленные ранее, 5 января.
Для установки доступны следующие обновления:
Windows
- Обновление KB5034123 (Build 22631.3007) для Windows 11, версия 23H2
- Обновление KB5034123 (Build 22621.3007) для Windows 11, версия 22H2
- Обновление KB5034121 (Build 22000.2713) для Windows 11, версия 21H2
- Обновление KB5034122 (Build 19045.3930) для Windows 10, версия 22H2
- Обновление безопасности KB5034441 для Windows 10, версии 22H2 и 21H2 устраняет обход защиты BitLocker (CVE-2024-20666)
Windows Server
- Обновление KB5034129 (OS Build 20348.2227) для Windows Server 2022 (21H2 LTSC)
- Обновление KB5034127 (OS Build 17763.5329) для Windows Server 2019 (1809 LTSC)
- Обновление KB5034119 (OS Build 14393.6614) для Windows Server 2016 (1607 LTSC)
Исправленные уязвимости
Хотя в этом месяце не было активно эксплуатируемых или публично раскрытых уязвимостей, некоторые уязвимости представляют большой интерес.
Microsoft исправила уязвимость удаленного выполнения кода в Office, отслеживаемую как CVE-2024-20677, которая позволяет злоумышленникам создавать вредоносные документы Office со встроенными файлами 3D-модели FBX для удаленного выполнения кода.
В бюллетене по безопасности Microsoft поясняется:
В FBX существует уязвимость безопасности, которая может привести к удаленному выполнению кода. Для снижения рисков эксплуатации возможность вставки файлов FBX отключена в Word, Excel, PowerPoint и Outlook для Windows и Mac.
Версии Office, в которых была включена эта функция, утратят к ней доступ. Речь идет об Office 2019, Office 2021, Office LTSC для Mac 2021 и Microsoft 365.
3D-модели в документах Office, которые ранее были вставлены из файла FBX, будут продолжать работать должным образом, если во время вставки не будет выбран параметр «Ссылка на файл».
Критическая ошибка Windows Kerberos, отслеживаемая как CVE-2024-20674, позволяет злоумышленнику обойти систему аутентификации.
В бюллетени по безопасности сообщается:
Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, организовав атаку «машина посередине» (MITM) или другой метод подмены локальной сети, а затем отправить вредоносное сообщение Kerberos на клиентскую машину-жертву, чтобы выдать себя за сервер аутентификации Kerberos.
Обновления от других компаний
- Cisco выпустила обновления безопасности для устранения уязвимости повышения привилегий в Cisco Identity Services Engine.
- Google выпустил обновления безопасности Android за январь 2024 года.
- Ivanti выпустила обновления безопасности для критической уязвимости удаленного выполнения кода в Endpoint Management (EPM).
- Новая атака KyberSlash ставит под угрозу многочисленные проекты квантового шифрования.
- SAP выпустила обновления за январь 2024 года.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5