Microsoft исправила 96 уязвимостей в рамках январского вторника исправлений

В одном только Microsoft Edge исправлено 24 уязвимости, что нехарактерно для января.

Каждый второй вторник месяца, известный как «вторник исправлений», Microsoft выпускает плановые обновления безопасности для своих продуктов. 11 января компания выпустила очередную порцию патчей, в общей сложности исправляющих 96 уязвимостей, в том числе шесть ранее неизвестных.

В частности, были исправлены уязвимости, позволяющие злоумышленникам удаленно выполнять код, повышать свои привилегии, осуществлять спуфинг и проводить XSS-атаки. Проблемы затрагивают Microsoft Exchange Server, Office, Windows Defender, Windows Kernel, RDP, сервисы шифрования, сертификат Windows и Microsoft Teams.

Как уже упоминалось, были исправлены шесть уязвимостей, о которых ранее не сообщалось (ни одна из них пока не эксплуатировалась в реальных хакерских атаках):

CVE-2021-22947 – удаленное выполнение кода в ПО с открытым исходным кодом Curl, позволяющее осуществить атаку «человек посередине»;

CVE-2021-36976 – использование памяти после высвобождения в Libarchive, что может привести к удаленному выполнению кода;

CVE-2022-21874 – удаленное выполнение кода в Windows Security Center API RCE;

CVE-2022-21919 – повышение привилегий в Windows User Profile Service (уже существует PoC-эксплоит);

CVE-2022-21839 – отказ в обслуживании в Windows Event Tracing Discretionary Access Control List;

CVE-2022-21836 – спуфинг сертификата Windows (уже существует PoC-эксплоит).

24 уязвимости были исправлены в одном только Microsoft Edge на базе Chromium. Согласно Zero Day Initiative (ZDI), такое количество нехарактерно для января – в предыдущие годы число уязвимостей в браузере было вдвое меньше.

Microsoft также обновила систему уведомлений Security Update Guide. Отныне при регистрации принимаются не только Live ID, но и стандартные электронные адреса.

Источник: SecurityLab.ru