На этой неделе Microsoft выпустила очередной пакет исправлений безопасности в рамках программы Patch Tuesday. Разработчики исправили более 100 уязвимостей в десятках продуктов софтверного гиганта, включая Windows, Office, Skype for Business, Visual Studio и др. Речь идёт о проблемах, связанных с удалённым выполнением кода, повышением уровня привилегий, утечкой данных и др.
Нынешний патч содержит исправления 10 критических уязвимостей, включая две уязвимости нулевого дня. Первая из них CVE-2022-26904 может использоваться для повышения привилегий и затрагивает службу Windows User Profile Service. Уязвимость получила 7 баллов из 10 возможных по шкале CVSS, поскольку её эксплуатация считается сложной. Вторая уязвимость нулевого дня CVE-2022-24521 также связана повышением привилегий и затрагивает драйвер подсистемы журналирования Windows Common Log File System. Эта проблема получила оценку 7,8 балла из 10, поскольку её не сложно эксплуатировать и у Microsoft есть доказательства того, что она использовалась злоумышленниками на практике.
Также заслуживают внимания опасные уязвимости CVE-2022-26809 и CVE-2022-24491, которые могут использоваться для удалённого выполнения кода. Отметим, что в этом месяце разработчики исправили больше уязвимостей, чем в предыдущих месяцах. В марте этого года патч безопасности включал в себя 71 исправление, а в феврале — 48 исправлений.
Горячие темы