Январский патч 159-CVE во вторник побил рекорд за один месяц
Приготовьтесь... и подумайте о том, чтобы прочитать вашу электронную почту в виде открытого текста
Во вторник Microsoft выпустила 159 исправлений, затрагивающих 13 семейств продуктов. Девять из решенных проблем Microsoft считает критическими, а 43 имеют базовую оценку CVSS 8,0 или выше. Три из них активно эксплуатируются в дикой природе. Одну из них можно лучше всего смягчить, «настроив Microsoft Outlook для чтения всех стандартных писем в виде обычного текста».
Беспрецедентный объем исправлений приходится в основном на Windows, причем 132 исправления применимы к операционной системе. (132 исправления сами по себе считаются третьим по величине выпуском с 2020 года.) В этой группе возникает ряд тем — например, 28 исправлений удаленного выполнения кода, влияющих на службы телефонии Windows, или 17 проблем повышения привилегий, решенных в Windows Digital Media. Восемь исправлений Windows имеют критическую серьезность, включая ошибку Outlook, связанную с OLE, отмеченную выше. (Мы более подробно рассмотрим эту ситуацию через минуту.)
На момент выпуска исправления три важные проблемы EoP, все под названием «Уязвимость повышения привилегий интеграции ядра Windows Hyper-V NT VSP», известны тем, что эксплуатируются в дикой природе, и, по оценкам компании, в течение следующих 30 дней с большей вероятностью будут эксплуатироваться 17 дополнительных CVE. Две из проблем этого месяца поддаются обнаружению средствами защиты Sophos, и мы включили информацию о них в таблицу ниже.
В дополнение к этим исправлениям, релиз включает в себя консультативную информацию об обновлениях стека обслуживания, а также информацию об одном исправлении Edge за месяц (есть также исправление для Internet Explorer, о чем мы поговорим ниже) и двух проблемах, затронутых в релизе, но уже смягченных Microsoft. Мы, как всегда, включаем в конец этого поста дополнительные приложения, перечисляющие все исправления Microsoft, отсортированные по серьезности, по прогнозируемой эксплуатируемости и по семейству продуктов; приложение, охватывающее обновления в стиле рекомендаций; и обзор 130 исправлений, влияющих на различные платформы Windows Server, которые все еще поддерживаются.
· Всего CVE: 159
· Публично раскрыто: 3
· Обнаружено эксплойтов: 3
· Серьёзность
o Критический: 9
o Важно: 150
· Влияние
o Удаленное выполнение кода: 58
o Повышение привилегий: 40
o Раскрытие информации: 22
o Отказ в обслуживании: 20
o Обход функций безопасности: 14
o Спуфинг: 5
· Базовый балл CVSS 9,0 или выше: 3
· Базовый балл CVSS 8,0 или выше: 40
Рисунок 1: Хотя RCE продолжает доминировать, в первой партии патчей этого года представлены различные воздействия
Продукция
· Окна: 132
· 365: 13
· Офис: 13
· Визуальная Студия: 7
· .NET: 4
· Доступ: 3
· SharePoint: 3
· Office для Mac: 2
· Автообновление для Mac: 1
· Эксель: 1
· Перспективы: 1
· Локальный шлюз данных: 1
· Автоматизация мощности: 1
Как принято в этом списке, CVE, которые применяются к нескольким семействам продуктов, учитываются один раз для каждого семейства, которое они затрагивают.
Продукция
· Окна: 132
· 365: 13
· Офис: 13
· Визуальная Студия: 7
· .NET: 4
· Доступ: 3
· SharePoint: 3
· Office для Mac: 2
· Автообновление для Mac: 1
· Эксель: 1
· Перспективы: 1
· Локальный шлюз данных: 1
· Автоматизация мощности: 1
Как принято в этом списке, CVE, которые применяются к нескольким семействам продуктов, учитываются один раз для каждого семейства, которое они затрагивают.
Рисунок 2: Все, кроме двух январских исправлений Windows, относятся к серверной ОС. Что касается остального, Office для Mac получает одно исправление для себя и делится одним с другими версиями Office
Важные обновления января
Помимо обсуждаемых выше вопросов, заслуживают внимания ряд конкретных моментов.
CVE-2025-21298 — Уязвимость Windows OLE, делающая возможным удаленное выполнение кода
С базовым баллом CVSS 9,8 эта проблема критической серьезности уже привлекает внимание, но она еще более захватывающая. Это проблема RTF (Rich Text Format), поэтому, хотя ее необходимо исправить в Windows, она применима к различным продуктам, в частности к электронной почте. Поскольку уязвимость может быть вызвана в области предварительного просмотра, злоумышленнику, использующему эту уязвимость, не нужно будет ничего делать, кроме как отправить вредоносное электронное письмо цели; даже если пользователь ничего не нажмет, простого просмотра будет достаточно, чтобы активировать RCE. К счастью, пока не считается, что она активно эксплуатируется в дикой природе — искатели работали с The Zero-Day Initiative, чтобы привлечь к ней внимание Microsoft, — но разумно предположить, что время идет. Как отмечено выше, компания действительно рекомендует пользователям продолжать читать свою электронную почту в виде открытого текста и дает инструкции по настройке отдельных машин для этого в Outlook. Пользователи других почтовых программ захотят принять это к сведению и действовать соответствующим образом.
CVE-2025-21311 — Уязвимость Windows NTLM V1, приводящая к повышению привилегий
Еще 9,8 по шкале CVSS, это относится к последним предложениям Microsoft (Windows 11 24H2, Server 2022 23H2, Server 2025) и его относительно легко смягчить, установив LmCompatibilityLevel на максимальное значение 5, тем самым запретив использование протокола MTLMv1. Это хорошо, потому что уязвимость может быть использована удаленно, не требует особых знаний целевой системы и имеет высокий процент успеха.
CVE-2025-21366, CVE-2025-21395, CVE-2025-21186 — все уязвимости Microsoft Access, связанные с удаленным выполнением кода
Продолжая тему этого месяца «изменения в функциональности электронной почты, которые раздражают конечных пользователей», исправления для этих CVE блокируют отправку по электронной почте семи потенциально вредоносных расширений (.accda, .accdb, .accde, .accdr, accdt, .accdu, .accdw). Microsoft заявляет, что получатель получит уведомление о том, что вложение было, но к нему нельзя получить доступ. Все три проблемы являются RCE, нацеленными на RDP, и все три уже общеизвестны.
CVE-2025-21280, CVE-2025-21284, CVE-2025-21299, CVE-2025-21321, CVE-2025-21331, CVE-2025-21336, CVE-2025-21340, CVE-2025-21370 – различные названия
Восемь из исправлений этого месяца касаются компонентов виртуального безопасного режима, а это значит, что администраторам необходимо следовать рекомендациям Microsoft по устранению проблем безопасности на основе виртуализации (VBS).
CVE-2025-21343 — Уязвимость раскрытия информации о службе Windows Web Threat Defense
Проблема раскрытия информации уровня важности, эта странность может, если ее эксплуатировать, позволить злоумышленнику делать снимки экрана сеанса другого пользователя. Она также довольно специфична по области применения, затрагивая только Windows 11 22H2, 23H2 и 24H2. Она была отправлена в Microsoft необычным искателем, Australian Signals Directorate.
CVE-2025-21326 — Уязвимость Internet Explorer, позволяющая удаленно выполнить код
Кажется, что это старые времена с таким названием, но эта серьезная уязвимость RCE затрагивает не старый браузер, а Windows Server 2022 23H2 и Windows Server 2025.
Как и каждый месяц, если вы не хотите ждать, пока ваша система сама скачает обновления Microsoft, вы можете загрузить их вручную с веб-сайта каталога обновлений Windows. Запустите инструмент winver.exe , чтобы определить, какая сборка Windows 10 или 11 у вас установлена, затем загрузите пакет накопительных обновлений для архитектуры вашей конкретной системы и номера сборки.
Комментариев нет:
Отправить комментарий