Подошёл заключительный для 2023 года вторник патчей от Microsoft, которые в этот раз устраняют в общей сложности 34 уязвимости. Лишь четыре получили статус критических.
Восемь брешей, пропатченных в декабре, могут привести к удалённому выполнению кода. Три из них идут со статусом «критическая».
Вообще, максимальный уровень опасности получили дыры в Power Platform (спуфинг), Internet Connection Sharing (RCE) и платформе Windows MSHTML (RCE). По классам уязвимости распределились следующим образом:
- 10 проблем повышения привилегий.
- 8 RCE (удалённое выполнение кода).
- 6 багов раскрытия информации.
- 5 DoS.
- 5 проблем спуфинга.
Кроме того, Microsoft устранила одну уязвимость нулевого дня (CVE-2023-20588), эксплойт для которой уже находится в общем доступе. Информация о ней появилась ещё в августе (затрагивает устройства с процессорами AMD).
Производитель CPU опубликовал собственное уведомление в отношении CVE-2023-20588. Общее число закрытых дыр с идентификаторами и степенью риска приводим ниже в таблице:
Затронутый компонент | Идентификатор CVE | Наименование CVE | Уровень опасности |
---|---|---|---|
Azure Connected Machine Agent | CVE-2023-35624 | Azure Connected Machine Agent Elevation of Privilege Vulnerability | Важная |
Azure Machine Learning | CVE-2023-35625 | Azure Machine Learning Compute Instance for SDK Users Information Disclosure Vulnerability | Важная |
Chipsets | CVE-2023-20588 | AMD: CVE-2023-20588 AMD Speculative Leaks Security Notice | Важная |
Microsoft Bluetooth Driver | CVE-2023-35634 | Windows Bluetooth Driver Remote Code Execution Vulnerability | Важная |
Microsoft Dynamics | CVE-2023-35621 | Microsoft Dynamics 365 Finance and Operations Denial of Service Vulnerability | Важная |
Microsoft Dynamics | CVE-2023-36020 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Важная |
Microsoft Edge (Chromium-based) | CVE-2023-35618 | Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability | Средняя |
Microsoft Edge (Chromium-based) | CVE-2023-36880 | Microsoft Edge (Chromium-based) Information Disclosure Vulnerability | Низкая |
Microsoft Edge (Chromium-based) | CVE-2023-38174 | Microsoft Edge (Chromium-based) Information Disclosure Vulnerability | Низкая |
Microsoft Edge (Chromium-based) | CVE-2023-6509 | Chromium: CVE-2023-6509 Use after free in Side Panel Search | Неизвестно |
Microsoft Edge (Chromium-based) | CVE-2023-6512 | Chromium: CVE-2023-6512 Inappropriate implementation in Web Browser UI | Неизвестно |
Microsoft Edge (Chromium-based) | CVE-2023-6508 | Chromium: CVE-2023-6508 Use after free in Media Stream | Неизвестно |
Microsoft Edge (Chromium-based) | CVE-2023-6511 | Chromium: CVE-2023-6511 Inappropriate implementation in Autofill | Неизвестно |
Microsoft Edge (Chromium-based) | CVE-2023-6510 | Chromium: CVE-2023-6510 Use after free in Media Capture | Неизвестно |
Microsoft Office Outlook | CVE-2023-35636 | Microsoft Outlook Information Disclosure Vulnerability | Важная |
Microsoft Office Outlook | CVE-2023-35619 | Microsoft Outlook for Mac Spoofing Vulnerability | Важная |
Microsoft Office Word | CVE-2023-36009 | Microsoft Word Information Disclosure Vulnerability | Важная |
Microsoft Power Platform Connector | CVE-2023-36019 | Microsoft Power Platform Connector Spoofing Vulnerability | Критическая |
Microsoft WDAC OLE DB provider for SQL | CVE-2023-36006 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Важная |
Microsoft Windows DNS | CVE-2023-35622 | Windows DNS Spoofing Vulnerability | Важная |
Windows Cloud Files Mini Filter Driver | CVE-2023-36696 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Важная |
Windows Defender | CVE-2023-36010 | Microsoft Defender Denial of Service Vulnerability | Важная |
Windows DHCP Server | CVE-2023-35643 | DHCP Server Service Information Disclosure Vulnerability | Важная |
Windows DHCP Server | CVE-2023-35638 | DHCP Server Service Denial of Service Vulnerability | Важная |
Windows DHCP Server | CVE-2023-36012 | DHCP Server Service Information Disclosure Vulnerability | Важная |
Windows DPAPI (Data Protection Application Programming Interface) | CVE-2023-36004 | Windows DPAPI (Data Protection Application Programming Interface) Spoofing Vulnerability | Важная |
Windows Internet Connection Sharing (ICS) | CVE-2023-35642 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Важная |
Windows Internet Connection Sharing (ICS) | CVE-2023-35630 | Internet Connection Sharing (ICS) Remote Code Execution Vulnerability | Критическая |
Windows Internet Connection Sharing (ICS) | CVE-2023-35632 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Важная |
Windows Internet Connection Sharing (ICS) | CVE-2023-35641 | Internet Connection Sharing (ICS) Remote Code Execution Vulnerability | Критическая |
Windows Kernel | CVE-2023-35633 | Windows Kernel Elevation of Privilege Vulnerability | Важная |
Windows Kernel | CVE-2023-35635 | Windows Kernel Denial of Service Vulnerability | Важная |
Windows Kernel-Mode Drivers | CVE-2023-35644 | Windows Sysmain Service Elevation of Privilege | Важная |
Windows Local Security Authority Subsystem Service (LSASS) | CVE-2023-36391 | Local Security Authority Subsystem Service Elevation of Privilege Vulnerability | Важная |
Windows Media | CVE-2023-21740 | Windows Media Remote Code Execution Vulnerability | Важная |
Windows MSHTML Platform | CVE-2023-35628 | Windows MSHTML Platform Remote Code Execution Vulnerability | Критическая |
Windows ODBC Driver | CVE-2023-35639 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Важная |
Windows Telephony Server | CVE-2023-36005 | Windows Telephony Server Elevation of Privilege Vulnerability | Важная |
Windows USB Mass Storage Class Driver | CVE-2023-35629 | Microsoft USBHUB 3.0 Device Driver Remote Code Execution Vulnerability | Важная |
Windows Win32K | CVE-2023-36011 | Win32k Elevation of Privilege Vulnerability | Важная |
Windows Win32K | CVE-2023-35631 | Win32k Elevation of Privilege Vulnerability | Важная |
XAML Diagnostics | CVE-2023-36003 | XAML Diagnostics Elevation of Privilege Vulnerability | Важная |