ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Во вторник Microsoftобъявила о выпуске обновлений, которые устраняют 130 уязвимостей безопасности в её продуктах, включая ошибку SQL Server, отслеживаемую как
(оценка CVSS 7,5). Уязвимость связана с неправильной проверкой входных данных, что может позволить злоумышленникам передавать данные по сети. Несмотря на то, что ошибка не использовалась как уязвимость нулевого дня, она была раскрыта до выпуска исправлений.

Microsoft рекомендовала обновить SQL Server до актуальной версии и использовать драйверы Microsoft OLE DB 18 или 19 для защиты от данной уязвимости.

Обновления также включают около дюжины критических исправлений, в том числе для уязвимостей, которые могут привести к удаленному выполнению кода (RCE). Среди них исправления для механизма безопасности SPNEGO Extended Negotiation (NEGOEX), SharePoint (
и
) и прокси-службы Kerberos Key Distribution Center (KPSSVC) (
).

Кроме того, были исправлены уязвимости в пакете Office, которые позволяли выполнять код через вредоносные документы, а также ошибка
в службе платформы подключенных устройств Windows, которая позволяла удалённым злоумышленникам выполнять код.

Из 130 уязвимостей, устранённых в этом месяце,53 могут привести к повышению привилегий, 41— к удалённому выполнению кода, 18— к раскрытию информации и другие.

Исправления будут автоматически установлены на системах с включённой функцией автообновления. Пользователи, у которых эта функция отключена, должны установить обновления вручную как можно скорее.