Вчера бе вторникът с априлските кръпки на Microsoft, а актуализациите за сигурност поправят една активно експлоатирана уязвимост от типа „нулев ден“ и общо 97 недостатъка.

Седем уязвимости са класифицирани като „критични“, тъй като позволяват отдалечено изпълнение на код, което е най-сериозната от уязвимостите.

Броят на грешките във всяка категория уязвимости е посочен по-долу:

  • 20 уязвимости с повишаване на привилегиите
  • 8 уязвимости за заобикаляне на функции за сигурност
  • 45 уязвимости с отдалечено изпълнение на код
  • 10 уязвимости, свързани с разкриване на информация
  • 9 Уязвимости за отказ на услуга
  • 6 уязвимости, свързани с подправяне

Този брой не включва седемнадесет уязвимости в Microsoft Edge, поправени на 6 април.

 

Един поправен нулев ден

Този месец Patch Tuesday поправя една уязвимост от типа нулев ден, активно използвана при атаки.

Microsoft класифицира дадена уязвимост като „нулев ден“, ако тя е публично разкрита или активно експлоатирана, без да е налична официална поправка.

Активно експлоатираната уязвимост нулев ден в априлските актуализации е:

CVE-2023-28252 – Уязвимост в драйвера на общата файлова система на Windows с повишаване на привилегиите

Microsoft е отстранила уязвимост за повишаване на привилегиите в драйвера на Windows CLFS, която повишава привилегиите до SYSTEM – най-високото ниво на потребителски привилегии в Windows.

„Нападател, който успешно се възползва от тази уязвимост, може да получи привилегии за SYSTEM“, се казва в консултацията на Microsoft.

Microsoft казва, че уязвимостта е открита от Genwei Jiang от Mandiant и Quan Jin от DBAPPSecurity WeBin Lab.

От Kaspersky обаче казват, че също са открили и докладвали уязвимостта CVE-2023-28252 на Microsoft, след като са видели, че тя се използва при атаки с рансъмуер Nokoyawa.

Макар и да не се експлоатират активно, днес бяха поправени уязвимости за отдалечено изпълнение на код в Microsoft Office, Word и Publisher, които могат да бъдат използвани просто чрез отваряне на злонамерени документи.

Тези уязвимости се проследяват като CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 и CVE-2023-28311.

Тъй като тези видове уязвимости са ценни при фишинг кампании, хакерите вероятно ще се опитат да открият как те могат да бъдат използвани за  кампании за разпространение на зловреден софтуер.

Ето защо е силно препоръчително потребителите на Microsoft Office да инсталират днешните актуализации за сигурност възможно най-скоро.

Източник: По материали от Интернет

Подобни публикации

17 юни 2025

Уязвимост в ASUS Armoury Crate позволява пълно ...

Голяма уязвимост с високо ниво на сериозност беше открита в софтуер...
17 юни 2025

Чуждестранни хакери проникнаха в имейлите на жу...

Няколко имейл акаунти на журналисти на The Washington Post са стана...
17 юни 2025

Kali Linux 2025.2 излезе с нов кар хакинг инстр...

Kali Linux 2025.2, второто издание на популярната платформа за пент...

Zoomcar потвърди изтичането на данните на 8,4 м...

Zoomcar, платформа за споделяне на автомобили с дейност на нововъзн...
17 юни 2025

Microsoft потвърди проблем с Outlook при писане...

Microsoft потвърди технически проблем с класическата версия на Outl...
16 юни 2025

Cъвместна операция на правоприлагащи органи пре...

Германската полиция, с подкрепа на Европол и Евроджъст, съвместно с...
16 юни 2025

Microsoft потвърди проблем с DHCP сървъри на Wi...

Microsoft съобщи за нов технически проблем, засягащ сървъри с Windo...
16 юни 2025

OpenAI с голям ъпдейт на ChatGPT Search — по-пр...

На 13 юни 2025 г. OpenAI пусна съществен ъпдейт на ChatGPT Search, ...
16 юни 2025

Grafana — над 46 000 сървъра все още са уязвими

Над 46 000 Grafana сървъри с публичен достъп все още изпълняват неа...
Бъдете социални
Още по темата
17/06/2025

Уязвимост в ASUS Armoury Cr...

Голяма уязвимост с високо ниво на...
17/06/2025

Microsoft потвърди проблем ...

Microsoft потвърди технически проблем с класическата...
16/06/2025

Microsoft потвърди проблем ...

Microsoft съобщи за нов технически проблем,...
Последно добавени
17/06/2025

Уязвимост в ASUS Armoury Cr...

Голяма уязвимост с високо ниво на...
17/06/2025

Чуждестранни хакери проникн...

Няколко имейл акаунти на журналисти на...
17/06/2025

Kali Linux 2025.2 излезе с ...

Kali Linux 2025.2, второто издание на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!