В апреле Microsoft устранила 97 дыр: семь критических, одна — 0-day
Главная » Новости

В апреле Microsoft устранила 97 дыр: семь критических, одна — 0-day

Екатерина Быстрова 12 Апреля 2023 - 08:54
...
В апреле Microsoft устранила 97 дыр: семь критических, одна — 0-day

Прошёл апрельский вторник патчей, а это значит, что Microsoft выпустила обновления для ряда продуктов. В этот раз разработчики разобрались с 97 уязвимостями, из которых одна активно эксплуатируется в реальных кибератаках (0-day).

Стоит также отметить, что семь брешей получили статус критических, поскольку допускают удалённое выполнение кода. Что касается классификации устранённых уязвимостей, они распределились по типам следующим образом:

  • 20 багов повышения прав;
  • 8 проблем обхода защитных функций;
  • 45 — удалённое выполнение кода;
  • 10 — раскрытие информации;
  • 9 — DoS;
  • 6 — спуфинг.

В список не вошли 17 дыр в Microsoft Edge, которые разработчики пропатчили 6 апреля.

Что касается уязвимости нулевого дня, она получила идентификатор CVE-2023-28252. Проблема затрагивает драйвер Windows Common Log File System (CLFS) и приводит к повышению привилегий до уровня SYSTEM.

Специалисты «Лаборатории Касперского» утверждают, что эксплуатацию CVE-2023-28252 можно встретить в атаках вымогателя Nokoyawa. За сообщение о 0-day Microsoft поблагодарила исследователей из Mandiant и DBAPPSecurity WeBin Lab.

Несколько RCE-брешей в Microsoft Office, Word и Publisher (CVE-2023-28285CVE-2023-28295CVE-2023-28287 и CVE-2023-28311) тоже считаются крайне опасными, так как их можно задействовать с помощью вредоносных документов: жертва должна просто открыть один из таких документов, присланный по почте или любым другим способом.

Пользователям рекомендуют не игнорировать этот набор обновлений. Патчи лучше установить как можно скорее.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В новом релизе Axiom JDK и Libercat устранено 17 уязвимостей
Яков Шпунт 21 Апреля 2025 - 19:57
Уязвимости программ Корпорации
В новом релизе Axiom JDK и Libercat устранено 17 уязвимостей

Компания Axiom JDK представила новый релиз с критическими обновлениями безопасности для платформы Java Axiom JDK, сервера приложений Libercat и его сертифицированной версии Libercat Certified.

В общей сложности было устранено 17 уязвимостей, включая 6 критических, способных привести к удалённому выполнению кода или отказу в обслуживании.

Что нового в обновлении:

  • Обновление охватывает версии JDK 8, 11, 17, 21 и 24. При необходимости патчи могут быть предоставлены и для более ранних версий.
  • Устранены 5 уязвимостей класса CVE в компонентах security-libs, hotspot, client-libs и JavaFX.
  • Добавлены 652 дополнительных исправления и улучшения.
  • В сервере Libercat и Libercat Certified исправлены ещё 12 уязвимостей, в том числе 6 критичных.

О сервере Libercat:

Libercat — это стандартизованный сервер приложений, созданный на базе Apache Tomcat с учётом требований российского рынка. Он работает на платформе Axiom JDK и обеспечивает совместимость с российским оборудованием, системным ПО и СУБД, что делает его удобным решением для заказчиков, ориентированных на импортонезависимую ИТ-инфраструктуру.

Инспекционный контроль ФСТЭК:

Сертифицированная версия сервера — Libercat Certified — прошла инспекционный контроль во ФСТЭК России. По итогам проверки не было выявлено недекларированных возможностей, а сам продукт признан готовым к применению в системах с повышенными требованиями к информационной безопасности — в том числе на объектах критической информационной инфраструктуры и в государственных информационных системах.

Комментарий разработчика:

«В новых релизах Axiom JDK и Libercat мы устранили критические уязвимости и обеспечили соответствие действующим стандартам безопасной разработки, включая ГОСТ Р 56939-2024. Сертифицированная версия Libercat успешно прошла инспекционный контроль ФСТЭК, что подтверждает её готовность к использованию в защищённых сегментах. Наша задача — снижать риски на уровне платформы и давать ИТ- и ИБ-командам уверенность в устойчивости Java-инфраструктуры, не отвлекая их от стратегических задач», — отметил Сергей Лунегов, директор по продуктам Axiom JDK.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Российские организации атакует троян-стилер NOVA
Новость
Российские организации атакует троян-стилер NOVA
Кибератаки на ретейл удвоились: главная цель — шифрование данных
Новость
Кибератаки на ретейл удвоились: главная цель — шифрование да...
Вышла Indeed PAM 3.0 с новым компонентом — PostgreSQL Proxy
Новость
Вышла Indeed PAM 3.0 с новым компонентом — PostgreSQL Proxy

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.