Microsoft выпустила новое обновление безопасности в рамках инициативы Patch Tuesday, устраняющее 118 уязвимостей, из которых две уже активно используются злоумышленниками. Об этом сообщает My-News.az, ссылаясь на Day.az.
Из всех уязвимостей три оценены как критические, 113 – как важные, и две – как умеренные. Пять из них были известны на момент выхода обновления, и две из них уже использовались в реальных атаках. Одной из таких уязвимостей является CVE-2024-43572 с оценкой 7,8 по шкале CVSS, связанная с удаленным выполнением кода через Microsoft Management Console. Вторая – CVE-2024-43573 с оценкой 6,5, касающаяся платформы MSHTML и позволяющая проводить спуфинг.
Обе уязвимости внесены в каталог известных эксплуатируемых уязвимостей Агентства по кибербезопасности и инфраструктурной безопасности США (CISA), и федеральным агентствам предписано устранить их до 29 октября 2024 года.
Особое внимание экспертов привлекла уязвимость CVE-2024-43468 с оценкой 9.8, связанная с удаленным выполнением кода в Microsoft Configuration Manager, которая позволяет злоумышленникам выполнять произвольные команды, отправляя специально сформированные запросы на сервер.
Среди других критических уязвимостей выделяются CVE-2024-43488 и CVE-2024-43582, которые также могут быть использованы для удаленного выполнения кода. Эксплуатация CVE-2024-43582 требует сложных атак, что немного снижает риск ее использования.