Microsoft надмина себе си: Новият Patch Tuesday чупи всички рекорди – той съдържа 149 поправки на сигурността
Microsoft този път надмина себе си в дейното коригиране на дупки в Windows, Office, Azure и други свои артикули.
В последната актуализация за сигурност Patch Tuesday Microsoft разгласи рекорден брой кръпки. В Windows, Office, Azure,.NET Framework, Visual Studio, SQL Server, DNS Server, Windows Defender, Bitlocker и Windows Security Boot бяха поправени цели 149 уязвимости.
Това е най-големият брой кръпки в актуализация за сигурност на компанията от 2017 година насам, акцентира Дъстин Чайлдс от Zero Day Initiative (ZDI). При това единствено 3 от уязвимостите, открити през април са получили най-висока оценка на риска, а единствено 2 са били експлоатирани като уязвимости от вида „ нулев ден “ преди стартирането на кръпката.
Особено внимание заслужава уязвимостта в Outlook за Windows – CVE-2024-20670, която разрешава паролата на потребителя да бъде прихваната посредством излъган линк в имейл.
Освен това бяха открити твърдо кодирани идентификационни данни в Azure – идентификационен номер на уязвимостта CVE-2024-29063. Това поражда опасения за сигурността в подтекста на неотдавнашните офанзиви с изкуствен интелект.
На собствен ред уязвимостта CVE-2024-29988 показва опция за заобикаляне на Windows SmartScreen, която към този момент е била употребена от хакери в действителни офанзиви. Същата орис сполетя и CVE-2024-26234, която съставлява накърнимост за замяна на прокси драйвер, която също към този момент е била употребена от хакери преди излизането на кръпката.
Като цяло Patch Tuesday се отличава с поправянето на 68 уязвимости, свързани с отдалечено осъществяване на код, 31 уязвимости, свързани с повишение на привилегиите, 26 уязвимости, свързани със заобикаляне на функционалности за сигурност и 6 уязвимости, свързани с DoS офанзиви. Интересно е, че 24 от 26-те уязвимости, свързани със заобикаляне на сигурността са свързани с функционалността Secure Boot.
Месечните актуализации на сигурността на Microsoft акцентират значимостта на непрекъснатото внимание към уязвимостите в софтуера, изключително в сериозната инфраструктура и технологиите, от които зависи всекидневието ни.
Въпреки, че множеството от откритите уязвимости са били навреме отстранени, те демонстрират уязвимостта на нашите системи за съобразителните хакери. Всичко това би трябвало да насърчи доставчиците на програмен продукт, специалистите по сигурността и крайните консуматори да възприемат още по-бдителни и координирани подходи към киберсигурността.
