Классификация уязвимостей по типу:
- 24 уязвимостей повышения привилегий
- 3 уязвимости обхода функций безопасности
- 18 уязвимостей удаленного выполнения кода
- 6 уязвимостей раскрытия информации
- 6 уязвимостей отказа в обслуживании
- 2 уязвимости спуфинга
В этом месяце Microsoft исправила несколько проблем безопасности, которые представляют наибольший интерес:
- CVE-2024-26199 - уязвимость повышения привилегий в Microsoft Office
Microsoft исправила уязвимость в Microsoft Office, позволяющую любому пользователю, прошедшему аутентификацию, получить привилегии SYSTEM.
В бюллетени по безопасности сообщается:
Любой аутентифицированный пользователь может запустить эту уязвимость. Для этого не требуются права администратора или другие повышенные привилегии
- CVE-2024-20671 - уязвимость обхода защитных функций Microsoft Defender
Компания Microsoft устранила уязвимость в Microsoft Defender, которая может привести к блокировке запуска антивирусной программы.
Компания поясняет:
Аутентифицированный злоумышленник, успешно использовавший эту уязвимость, мог предотвратить запуск Microsoft Defender.
Проблема будет устранена с помощью обновлений (Windows Defender Antimalware Platform), которые автоматически устанавливаются на устройства под управлением Windows.
Этот недостаток исправлен в версии клиента антивредоносной программы 4.18.24010.12.
- CVE-2024-21411 - уязвимость удаленного выполнения кода в потребительской версии Skype
Компания Microsoft устранила уязвимость удаленного выполнения кода в Skype for Consumer, которая может быть спровоцирована вредоносной ссылкой или изображением.
В бюллетени по безопасности поясняется:
Злоумышленник может воспользоваться уязвимостью, отправив пользователю вредоносную ссылку или вредоносное изображение через мессенджер, а затем убедив его щелкнуть по ссылке или изображению.