Microsoft публикуваха редовния пакет с обновления за Windows и свързаните с него продукти за този месец. Общо 60 са включените тук бюлетини, като едва три от тези уязвимости са определени за критични, а една от тях вече е атакувана.

Започваме със CVE-2021-40444, за която вече ви разказахме през миналата седмица. Това е споменатата уязвимост, която експлоатирана в активни атаки. Проблемът се корени в MSHTML, компонент, който се ползва от Office и Internet Explorer. Успешната експлоатация на CVE-2021-40444 може да позволи дистанционното изпълнение на произволен код и пълното превземане на системата. Това, заедно със сравнително лесната експлоатация, за която Microsoft вече писаха, дава на уязвимостта оценка на риска (CVSSv3) 8.8 от 10.

И септемврийския Patch Tuesday носи със себе си кръпка за PrintNightmare, злополучната дупка в принт услугата на Windows, която компанията се опита да запуши на няколко пъти. За новите системи това е направено, а сега със CVE-2021-1678, идва актуализация и за по-старите версии на Windows – както за десктоп, така и за сървърните инстанции на Windows.

Впечатление прави CVE-2021-36965, уязвимост в Windows WLAN AutoConfig услугата. Тя може да се експлоатира за проникване в съседни мрежи и изпълнението на код по отдалечен път с привилегии на SYSTEM.

„Това означава, че атакуващата страна може да превземе напълно целта, стига тя да е в близка мрежа. Това би било удобен сценарий за интернет кафене, в което много хора използват необезопасена WiFi мрежа. При това, тук не се изискват привилегии или действие от страна на потребителя, така че не оставяйте изискването за близост да омаловажава сериозността на проблема. Определено тествайте и наложете тази кръпка бързо“, пише Дъстин Чайлдс от ZDNet.

Сред другите актуализации включени в септемврийския Patch Tuesday присъства решения за Windows Subsystem for Linux, Windows BitLocker, Microsoft Windows DNS, Event Tracing, ядрото на операционната система, Ofiice, Edge и др.

Абонирай се
Извести ме за
3 Коментара
стари
нови оценка
Отзиви
Всички коментари