Компания Microsoft устранила две критические уязвимости в программном обеспечении для виртуализации Hyper-V в ходе обновления Patch Tuesday в этом месяце. Эксплуатация обеих уязвимостей маловероятна, но исправления важны, заявила компания.
Речь идет об уязвимостях CVE-2024-21407 и CVE-2024-21408. Первая уязвимость позволяет аутентифицированным злоумышленникам в программе виртуализации Hyper-V использовать гостевую ВМ для выполнения произвольного кода на базовом хост-сервере.
Для успешной эксплуатации этой уязвимости, по мнению Microsoft, злоумышленники должны приложить усилия. В частности, они должны сначала собрать информацию об атакуемой среде, а затем предпринять дополнительные действия. В связи с этим технологическая компания считает успешную эксплуатацию уязвимости "менее вероятной".
Вторая критическая уязвимость позволяет хакерам провести атаку типа "отказ в обслуживании" (DoS). Более подробной информации об этой уязвимости Microsoft не предоставляет.
Другие обновления Patch Tuesday
Помимо двух критических исправлений для уязвимостей Hyper-V, обновление Patch Tuesday от 2024 марта также включает 59 других исправлений. По словам Microsoft, эти исправления менее актуальны, чем исправления для вышеупомянутых уязвимостей.
Помимо исправлений для Windows и ядра Windows, были выпущены и другие исправления для различных решений и приложений Microsoft. К ним относятся решения и приложения Azure, Exchange Server, Intune, SQL Server, Visual Studio Code, Microsoft Office и Dynamics, браузер Edge для Android и Outlook.
