Microsoft в декабре 2023 года выпустила пакет обновлений, который включает обновления безопасности для 34 дефектов и одной ранее раскрытой, неустраненной уязвимости в процессорах AMD
Хотя было исправлено восемь ошибок удаленного выполнения кода (RCE), Microsoft оценила только три как критические. Всего было обнаружено четыре критических уязвимости: одна в Power Platform (Spoofing), две в Internet Connection Sharing (RCE) и одна в Windows MSHTML Platform (RCE).
Ниже приведено количество ошибок в каждой категории уязвимостей:
- 10 уязвимостей с повышением привилегий
- 8 уязвимостей удаленного выполнения кода
- 6 уязвимостей раскрытия информации
- 5 уязвимостей отказа в обслуживании
- 5 уязвимостей спуфинга
В общее число 34 уязвимостей не входят 8 уязвимостей Microsoft Edge исправленных 7 декабря.
Исправлена одна ошибка нулевого дня
В этом месяце Patch Tuesday исправляет одну уязвимость нулевого дня AMD, раскрытую в августе, которая ранее оставалась непропатченной.
Уязвимость CVE-2023-20588 – AMD: CVE-2023-20588 AMD Speculative Leaks представляет собой ошибку деления на ноль в определенных процессорах AMD, которая потенциально может возвращать конфиденциальные данные.
Информация об уязвимости была раскрыта в августе 2023 года, при этом AMD не предоставила никаких исправлений, кроме рекомендаций по устранению проблемы.
«Для затронутых продуктов AMD рекомендует следовать лучшим практикам разработки программного обеспечения. Разработчики могут устранить эту проблему, убедившись, что никакие привилегированные данные не используются в операциях деления до изменения границ привилегий. AMD считает, что потенциальное влияние этой уязвимости невелико, поскольку она требует локального доступа.»
- говорится в бюллетенеAMD по CVE-2023-20588
В рамках этих декабрьских обновлений Patch Tuesday компания Microsoft выпустила обновление безопасности, устраняющее эту ошибку в процессорах AMD.
Последние обновления от других компаний
Другие производители, выпустившие обновления или рекомендации в декабре 2023 года, включают:
- Атака 5Ghoul может привести к сбоям в работе телефонов 5G с чипами Qualcomm MediaTek
- Atlassian выпустила обновления безопасности для четырех критических дефектов удаленного выполнения кода (RCE) в Confluence, Jira и Bitbucket.
- Apple перенесла исправления для недавних нулевых ошибок на старые модели iPhone и некоторые модели Apple Watch и Apple TV.
- Cisco выпустила обновления безопасности для дефектов Cisco ASA и Firepower, позволяющих подменить IP-адрес.
- Google выпустила обновления безопасности Android December 2023 с исправлением критического нулевого дня.
- SAP выпустила свои обновления December 2023 Patch Day.
- Sierra Wireless выпустила рекомендации по безопасности для 21 дефекта, затрагивающего OT/IoT-маршрутизаторы Sierra.
- SLAM атака похищает конфиденциальные данные из новых процессоров Intel AMD и Arm.
- VMware исправлен критический обход аутентификации в Cloud Director.
- WordPress исправлена цепочка POP, которая могла привести к RCE-атакам.
Обновления безопасности Patch Tuesday за декабрь 2023 года
Ниже приведен полный список устраненных уязвимостей в обновлениях Patch Tuesday за декабрь 2023 года.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| Azure Connected Machine Agent | CVE-2023-35624 | Azure Connected Machine Agent Elevation of Privilege Vulnerability | Important |
| Azure Machine Learning | CVE-2023-35625 | Azure Machine Learning Compute Instance for SDK Users Information Disclosure Vulnerability | Important |
| Chipsets | CVE-2023-20588 | AMD: CVE-2023-20588 AMD Speculative Leaks Security Notice | Important |
| Microsoft Bluetooth Driver | CVE-2023-35634 | Windows Bluetooth Driver Remote Code Execution Vulnerability | Important |
| Microsoft Dynamics | CVE-2023-35621 | Microsoft Dynamics 365 Finance and Operations Denial of Service Vulnerability | Important |
| Microsoft Dynamics | CVE-2023-36020 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2023-35618 | Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability | Moderate |
| Microsoft Edge (Chromium-based) | CVE-2023-36880 | Microsoft Edge (Chromium-based) Information Disclosure Vulnerability | Low |
| Microsoft Edge (Chromium-based) | CVE-2023-38174 | Microsoft Edge (Chromium-based) Information Disclosure Vulnerability | Low |
| Microsoft Edge (Chromium-based) | CVE-2023-6509 | Chromium: CVE-2023-6509 Use after free in Side Panel Search | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-6512 | Chromium: CVE-2023-6512 Inappropriate implementation in Web Browser UI | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-6508 | Chromium: CVE-2023-6508 Use after free in Media Stream | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-6511 | Chromium: CVE-2023-6511 Inappropriate implementation in Autofill | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-6510 | Chromium: CVE-2023-6510 Use after free in Media Capture | Unknown |
| Microsoft Office Outlook | CVE-2023-35636 | Microsoft Outlook Information Disclosure Vulnerability | Important |
| Microsoft Office Outlook | CVE-2023-35619 | Microsoft Outlook for Mac Spoofing Vulnerability | Important |
| Microsoft Office Word | CVE-2023-36009 | Microsoft Word Information Disclosure Vulnerability | Important |
| Microsoft Power Platform Connector | CVE-2023-36019 | Microsoft Power Platform Connector Spoofing Vulnerability | Critical |
| Microsoft WDAC OLE DB provider for SQL | CVE-2023-36006 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft Windows DNS | CVE-2023-35622 | Windows DNS Spoofing Vulnerability | Important |
| Windows Cloud Files Mini Filter Driver | CVE-2023-36696 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Important |
| Windows Defender | CVE-2023-36010 | Microsoft Defender Denial of Service Vulnerability | Important |
| Windows DHCP Server | CVE-2023-35643 | DHCP Server Service Information Disclosure Vulnerability | Important |
| Windows DHCP Server | CVE-2023-35638 | DHCP Server Service Denial of Service Vulnerability | Important |
| Windows DHCP Server | CVE-2023-36012 | DHCP Server Service Information Disclosure Vulnerability | Important |
| Windows DPAPI (Data Protection Application Programming Interface) | CVE-2023-36004 | Windows DPAPI (Data Protection Application Programming Interface) Spoofing Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2023-35642 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2023-35630 | Internet Connection Sharing (ICS) Remote Code Execution Vulnerability | Critical |
| Windows Internet Connection Sharing (ICS) | CVE-2023-35632 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2023-35641 | Internet Connection Sharing (ICS) Remote Code Execution Vulnerability | Critical |
| Windows Kernel | CVE-2023-35633 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2023-35635 | Windows Kernel Denial of Service Vulnerability | Important |
| Windows Kernel-Mode Drivers | CVE-2023-35644 | Windows Sysmain Service Elevation of Privilege | Important |
| Windows Local Security Authority Subsystem Service (LSASS) | CVE-2023-36391 | Local Security Authority Subsystem Service Elevation of Privilege Vulnerability | Important |
| Windows Media | CVE-2023-21740 | Windows Media Remote Code Execution Vulnerability | Important |
| Windows MSHTML Platform | CVE-2023-35628 | Windows MSHTML Platform Remote Code Execution Vulnerability | Critical |
| Windows ODBC Driver | CVE-2023-35639 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Important |
| Windows Telephony Server | CVE-2023-36005 | Windows Telephony Server Elevation of Privilege Vulnerability | Important |
| Windows USB Mass Storage Class Driver | CVE-2023-35629 | Microsoft USBHUB 3.0 Device Driver Remote Code Execution Vulnerability | Important |
| Windows Win32K | CVE-2023-36011 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K | CVE-2023-35631 | Win32k Elevation of Privilege Vulnerability | Important |
| XAML Diagnostics | CVE-2023-36003 | XAML Diagnostics Elevation of Privilege Vulnerability | Important |
Комментарии (0)