Корпорація Microsoft випустила великий пакет оновлень безпеки для декількох програм і служб, усунувши 159 вразливостей. Це наймасштабніший «вівторок виправлень» за останні кілька років, оскільки кількість виправлених вразливостей більш ніж удвічі перевищує звичайний показник. За даними Microsoft, три з виправлених вразливостей безпеки Windows вже експлуатуються, а ще п’ять вразливостей були відомі громадськості заздалегідь.
Щоб дізнатись останні новини, слідкуйте за нашим каналом Google News онлайн або через застосунок.
Microsoft не пропонує багато інформації про вразливості для самостійного пошуку в Посібнику з оновлення безпеки, але якщо вам цікаво, Дастін Чайлдс занурюється в них набагато детальніше в блозі Zero Day Initiative, орієнтованому на адміністраторів, які керують корпоративними мережами. Наступний черговий Вівторок оновлення відбудеться 11 лютого 2025 року.
Велика кількість уразливостей – цього разу 132 – поширена в різних версіях Windows, для яких Microsoft все ще пропонує оновлення безпеки (тобто Windows 10, Windows 11 та Windows Server). Хоча Windows 7 і 8.1 більше не згадуються в цих звітах про безпеку, вони все ще можуть бути вразливими. Якщо ви використовуєте ці старі версії Windows і ваші системні вимоги дозволяють це зробити, вам обов’язково слід перейти на Windows 10 або Windows 11, щоб продовжувати отримувати оновлення безпеки.
За даними Microsoft, три з розглянутих вразливостей безпеки Windows активно експлуатуються. Більш-менш ідентичні вразливості Hyper-V CVE-2025-21333, CVE-2025-21334 та CVE-2025-21335 дозволяють зареєстрованим зловмисникам виконувати код з гостьової системи з системними правами на хості. Наразі невідомо, наскільки поширені атаки на ці уразливості.
Microsoft класифікує загалом вісім уразливостей в Windows як критичні. CVE-2025-21298 в Windows OLE (CVSS 9.8) можна використати через спеціально створений електронний лист, якщо цей лист відкрито в Outlook. Хоча вікно попереднього перегляду не є прямим вектором атаки, попередній перегляд вкладеного файлу може призвести до впровадження та виконання коду.
Служби віддаленого робочого столу на шлюзовому сервері можуть бути віддалено атаковані зловмисниками через CVE-2025-21297 та CVE-2025-21309 (CVSS 8.1) без входу в систему користувача. Компанія Microsoft закрила 28 подібних RCE уразливостей (CVSS 8.8) в службі телефонії Windows. Вони належать до категорії високого ризику і, очевидно, ще не були використані.
Компанія Microsoft усунула 20 уразливостей в своїх офісних продуктах. Серед них ряд RCE уразливостей в Word, Excel, Outlook, OneNote, Visio та SharePoint Server. Три RCE уразливості в Access вважаються нульовими.
Останнє оновлення безпеки для браузера Microsoft Edge – версія 131.0.2903.146 від 10 січня, що базується на Chromium 131.0.6778.265. Однак, окрім каталогу оновлень Microsoft, це оновлення досі ніде не задокументоване компанією Microsoft.
Нагадаю, Google також випустила нову велику версію Chrome, яка усуває низку вразливостей, що належать до категорії високого ризику.
Якщо вам цікаві статті та новини про авіацію та космічну техніку — запрошуємо вас на наш новий проєкт AERONAUT.media.
Читайте також:
- Microsoft додасть нейронний рендеринг в DirectX
- Microsoft дозволила китайським виробникам ПЗ продавати на своїй платформі
в кожну аппку додали підтримку взаємодії з додатковими 50 іншими аппками екосистеми, якими ніхто не користується. якщо логіки в такій взаємодії нема, то програмно сповільнили, щоб користувачі не сумували