В мае Microsoft устранила три 0-day в Windows, две используются в атаках

В мае Microsoft устранила три 0-day в Windows, две используются в атаках

В мае Microsoft устранила три 0-day в Windows, две используются в атаках

Пока вчера мы отмечали День Победы, Microsoft успела выпустить майский набор патчей для Windows. В общей сложности разработчики устранили 38 проблем, включая три уязвимости нулевого дня (0-day).

Шесть уязвимостей получили статус критических, так как они допускают удалённое выполнение кода. В целом бреши распределились по классам следующим образом:

  • Восемь уязвимостей повышения привилегий.
  • Четыре возможности обхода защитных функций.
  • 12 дыр, приводящих к удалённому выполнению кода.
  • Восемь проблем раскрытия информации.
  • Пять DoS-уязвимостей.
  • Одна возможность спуфинга.

Что касается трёх 0-day, которые Microsoft закрыла в этом месяце: две из них уже активно используются в реальных кибератаках, а оставшаяся ждёт своего часа, поскольку её технические подробности лежат в Сети.

  • CVE-2023-29336 — одна из эксплуатируемых брешей. Приводит к повышению прав и затрагивает Win32k. С её помощью атакующие могут получить в ОС привилегии уровня SYSTEM.
  • CVE-2023-24932 — ещё одна эксплуатируемая уязвимость, способная привести к обходу защитных функций. Именно эта 0-day используется для установки UEFI-буткита BlackLotus.
  • CVE-2023-29325 — последняя 0-day, затрагивающая Windows OLE и способная привести к удалённому выполнению кода. Использовать её можно с помощью специально созданного электронного письма.

Весь список устранённых уязвимостей приводим ниже в таблице:

Затронутый компонент Идентификатор CVE CVE-название Степень опасности
Microsoft Bluetooth Driver CVE-2023-24947 Windows Bluetooth Driver Remote Code Execution Vulnerability Важная
Microsoft Bluetooth Driver CVE-2023-24948 Windows Bluetooth Driver Elevation of Privilege Vulnerability Важная
Microsoft Bluetooth Driver CVE-2023-24944 Windows Bluetooth Driver Information Disclosure Vulnerability Важная
Microsoft Edge (Chromium-based) CVE-2023-29354 Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability Средняя
Microsoft Edge (Chromium-based) CVE-2023-2468 Chromium: CVE-2023-2468 Inappropriate implementation in PictureInPicture Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-2459 Chromium: CVE-2023-2459 Inappropriate implementation in Prompts Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-29350 Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability Важная
Microsoft Edge (Chromium-based) CVE-2023-2467 Chromium: CVE-2023-2467 Inappropriate implementation in Prompts Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-2463 Chromium: CVE-2023-2463 Inappropriate implementation in Full Screen Mode Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-2462 Chromium: CVE-2023-2462 Inappropriate implementation in Prompts Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-2460 Chromium: CVE-2023-2460 Insufficient validation of untrusted input in Extensions Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-2465 Chromium: CVE-2023-2465 Inappropriate implementation in CORS Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-2466 Chromium: CVE-2023-2466 Inappropriate implementation in Prompts Неизвестно
Microsoft Edge (Chromium-based) CVE-2023-2464 Chromium: CVE-2023-2464 Inappropriate implementation in PictureInPicture Неизвестно
Microsoft Graphics Component CVE-2023-24899 Windows Graphics Component Elevation of Privilege Vulnerability Важная
Microsoft Office CVE-2023-29344 Microsoft Office Remote Code Execution Vulnerability Важная
Microsoft Office Access CVE-2023-29333 Microsoft Access Denial of Service Vulnerability Важная
Microsoft Office Excel CVE-2023-24953 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office SharePoint CVE-2023-24955 Microsoft SharePoint Server Remote Code Execution Vulnerability Критическая
Microsoft Office SharePoint CVE-2023-24954 Microsoft SharePoint Server Information Disclosure Vulnerability Важная
Microsoft Office SharePoint CVE-2023-24950 Microsoft SharePoint Server Spoofing Vulnerability Важная
Microsoft Office Word CVE-2023-29335 Microsoft Word Security Feature Bypass Vulnerability Важная
Microsoft Teams CVE-2023-24881 Microsoft Teams Information Disclosure Vulnerability Важная
Microsoft Windows Codecs Library CVE-2023-29340 AV1 Video Extension Remote Code Execution Vulnerability Важная
Microsoft Windows Codecs Library CVE-2023-29341 AV1 Video Extension Remote Code Execution Vulnerability Важная
Remote Desktop Client CVE-2023-24905 Remote Desktop Client Remote Code Execution Vulnerability Важная
SysInternals CVE-2023-29343 SysInternals Sysmon for Windows Elevation of Privilege Vulnerability Важная
Visual Studio Code CVE-2023-29338 Visual Studio Code Information Disclosure Vulnerability Важная
Windows Backup Engine CVE-2023-24946 Windows Backup Service Elevation of Privilege Vulnerability Важная
Windows Installer CVE-2023-24904 Windows Installer Elevation of Privilege Vulnerability Важная
Windows iSCSI Target Service CVE-2023-24945 Windows iSCSI Target Service Information Disclosure Vulnerability Важная
Windows Kernel CVE-2023-24949 Windows Kernel Elevation of Privilege Vulnerability Важная
Windows LDAP - Lightweight Directory Access Protocol CVE-2023-28283 Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability Критическая
Windows MSHTML Platform CVE-2023-29324 Windows MSHTML Platform Security Feature Bypass Vulnerability Важная
Windows Network File System CVE-2023-24941 Windows Network File System Remote Code Execution Vulnerability Критическая
Windows NFS Portmapper CVE-2023-24901 Windows NFS Portmapper Information Disclosure Vulnerability Важная
Windows NFS Portmapper CVE-2023-24939 Server for NFS Denial of Service Vulnerability Важная
Windows NTLM CVE-2023-24900 Windows NTLM Security Support Provider Information Disclosure Vulnerability Важная
Windows OLE CVE-2023-29325 Windows OLE Remote Code Execution Vulnerability Критическая
Windows PGM CVE-2023-24940 Windows Pragmatic General Multicast (PGM) Denial of Service Vulnerability Важная
Windows PGM CVE-2023-24943 Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability Критическая
Windows RDP Client CVE-2023-28290 Microsoft Remote Desktop app for Windows Information Disclosure Vulnerability Важная
Windows Remote Procedure Call Runtime CVE-2023-24942 Remote Procedure Call Runtime Denial of Service Vulnerability Важная
Windows Secure Boot CVE-2023-28251 Windows Driver Revocation List Security Feature Bypass Vulnerability Важная
Windows Secure Boot CVE-2023-24932 Secure Boot Security Feature Bypass Vulnerability Важная
Windows Secure Socket Tunneling Protocol (SSTP) CVE-2023-24903 Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability Критическая
Windows SMB CVE-2023-24898 Windows SMB Denial of Service Vulnerability Важная
Windows Win32K CVE-2023-29336 Win32k Elevation of Privilege Vulnerability Важная
Windows Win32K CVE-2023-24902 Win32k Elevation of Privilege Vulnerability Важная
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

OpenAI призывает разрешить игнорировать авторское право при обучении ИИ

Компания OpenAI официально обратилась к правительству США с просьбой разрешить использование контента, защищенного авторским правом, для обучения искусственного интеллекта (ИИ) при условии соблюдения принципа «добросовестного использования» (fair use).

По мнению представителей компании, ограничения на доступ к таким данным угрожают национальной безопасности и конкурентоспособности США на международной арене.

Издание Ars Technica отмечает, что OpenAI и другие разработчики искусственного интеллекта уже вовлечены в десятки судебных разбирательств с правообладателями.

В большинстве случаев суды встают на сторону владельцев авторских прав, отказываясь признавать правомерной трансформацию их контента при обучении нейросетей. Кроме того, как сообщал журнал Wired, некоторые иски были поданы из-за опасений, что развитие ИИ может полностью вытеснить людей из ряда профессий.

OpenAI подчеркнула, что китайские разработчики имеют практически неограниченный доступ к информации и могут свободно использовать защищённый контент, что даёт им значительное преимущество в скорости и качестве разработки искусственного интеллекта.

Компания уверена, что США рискуют проиграть технологическую гонку, если американские компании не получат аналогичный доступ к широкому спектру данных для обучения нейросетей.

Ситуация усложняется также активностью американских законодателей, которые за последнее время предложили уже 822 нормативных акта, направленных на регулирование сферы ИИ.

Многие из предложенных законов похожи на действующие в Евросоюзе нормы, которые, по мнению OpenAI, значительно усложняют технологическое развитие и могут негативно повлиять на конкурентоспособность США.

Компания также выступила против присоединения Соединённых Штатов к международным соглашениям, которые, по её мнению, могут замедлить развитие технологий и усилить преимущества китайских конкурентов, чьи разработки уже активно внедряются на американском рынке.

Федеральные власти США пока никак не прокомментировали предложение OpenAI. План национального развития искусственного интеллекта должен быть представлен в июле 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru