ΑρχικήSecurityMicrosoft: Κυκλοφόρησε το Patch Tuesday Δεκεμβρίου 2023

Microsoft: Κυκλοφόρησε το Patch Tuesday Δεκεμβρίου 2023

Η Microsoft κυκλοφόρησε χθες τις ενημερώσεις Patch Tuesday Δεκεμβρίου 2023, φέρνοντας διορθώσεις για 34 ευπάθειες και μία ευπάθεια zero-day σε επεξεργαστές AMD.

Microsoft Patch Tuesday

Ανάμεσα στις ευπάθειες που διορθώθηκαν, υπάρχουν και οκτώ σφάλματα που επιτρέπουν εκτέλεση κώδικα απομακρυσμένα (RCE). Ωστόσο, η Microsoft χαρακτήρισε μόνο τρία από αυτά ως κρίσιμα. Συνολικά, υπήρχαν τέσσερα κρίσιμα σφάλματα: ένα στο Power Platform (Spoofing), δύο στο Internet Connection Sharing (RCE) και ένα στο Windows MSHTML Platform (RCE).

Δείτε επίσης: Η CISA προσθέτει δύο ευπάθειες του Qlik Sense στον Κατάλογο KEV

Στην παρακάτω λίστα, μπορείτε να δείτε τις κατηγορίες ευπαθειών που διορθώνονται στο Microsoft Patch Tusday Δεκεμβρίου:

  • 10 ευπάθειες που επιτρέπουν απόκτηση περισσότερων προνομίων
  • 8 ευπάθειες που επιτρέπουν εκτέλεση κώδικα απομακρυσμένα
  • 6 ευπάθειες που επιτρέπουν αποκάλυψη πληροφοριών
  • 5 ευπάθειες που επιτρέπουν Denial of Service επιθέσεις
  • 5 ευπάθειες Spoofing

Ο συνολικός αριθμός των 34 ευπαθειών δεν περιλαμβάνει 8 σφάλματα του Microsoft Edge που διορθώθηκαν στις 7 Δεκεμβρίου.

Δείτε επίσης: Η Apple διορθώνει zero-day ευπάθειες σε παλιότερα iPhones

Patch Tuesday: Διορθώνει μια zero-day ευπάθεια

Το Patch Tuesday Δεκεμβρίου 2023 επιδιορθώνει μια ευπάθεια zero-day σε AMD CPUs που αποκαλύφθηκε δημόσια τον Αύγουστο. Η ευπάθεια “CVE-2023-20588 – AMD Speculative Leaks” είναι ένα division-by-zero bug σε συγκεκριμένους επεξεργαστές AMD και θα μπορούσε να αποκαλύψει ευαίσθητα δεδομένα.

Παρά το γεγονός ότι αποκαλύφθηκε από τον Αύγουστο, η AMD δεν παρείχε επιδιορθώσεις. Απλώς, πρότεινε το εξής: “Για τα επηρεαζόμενα προϊόντα, η AMD συνιστά να ακολουθούνται οι βέλτιστες πρακτικές ανάπτυξης λογισμικού“, αναφέρεται σε ένα δελτίο της AMD.

Οι προγραμματιστές μπορούν να μετριάσουν αυτό το ζήτημα διασφαλίζοντας ότι δεν χρησιμοποιούνται privileged data σε division operations πριν από την αλλαγή των privilege boundaries. Η AMD πιστεύει ότι ο πιθανός αντίκτυπος αυτής της ευπάθειας είναι χαμηλός επειδή απαιτεί τοπική πρόσβαση“.

Δείτε επίσης: Backup Migration: Το WordPress plugin ευάλωτο σε κρίσιμη ευπάθεια

Ως μέρος των ενημερώσεων του Δεκεμβρίου, η Microsoft κυκλοφόρησε μια ενημέρωση ασφαλείας που επιλύει αυτό το σφάλμα στους επηρεασμένους επεξεργαστές AMD.

Microsoft Patch Tuesday Δεκεμβρίου 2023: Όλες οι ευπάθειες που διορθώνονται

Στον παρακάτω πίνακα, μπορείτε να δείτε όλες τις ευπάθειες που διορθώνει η Microsoft αυτό το μήνα στα προϊόντα της:

TagCVE IDCVE TitleSeverity
Azure Connected Machine AgentCVE-2023-35624Azure Connected Machine Agent Elevation of Privilege VulnerabilityImportant
Azure Machine LearningCVE-2023-35625Azure Machine Learning Compute Instance for SDK Users Information Disclosure VulnerabilityImportant
ChipsetsCVE-2023-20588AMD: CVE-2023-20588 AMD Speculative Leaks Security NoticeImportant
Microsoft Bluetooth DriverCVE-2023-35634Windows Bluetooth Driver Remote Code Execution VulnerabilityImportant
Microsoft DynamicsCVE-2023-35621Microsoft Dynamics 365 Finance and Operations Denial of Service VulnerabilityImportant
Microsoft DynamicsCVE-2023-36020Microsoft Dynamics 365 (on-premises) Cross-site Scripting VulnerabilityImportant
Microsoft Edge (Chromium-based)CVE-2023-35618Microsoft Edge (Chromium-based) Elevation of Privilege VulnerabilityModerate
Microsoft Edge (Chromium-based)CVE-2023-36880Microsoft Edge (Chromium-based) Information Disclosure VulnerabilityLow
Microsoft Edge (Chromium-based)CVE-2023-38174Microsoft Edge (Chromium-based) Information Disclosure VulnerabilityLow
Microsoft Edge (Chromium-based)CVE-2023-6509Chromium: CVE-2023-6509 Use after free in Side Panel SearchUnknown
Microsoft Edge (Chromium-based)CVE-2023-6512Chromium: CVE-2023-6512 Inappropriate implementation in Web Browser UIUnknown
Microsoft Edge (Chromium-based)CVE-2023-6508Chromium: CVE-2023-6508 Use after free in Media StreamUnknown
Microsoft Edge (Chromium-based)CVE-2023-6511Chromium: CVE-2023-6511 Inappropriate implementation in AutofillUnknown
Microsoft Edge (Chromium-based)CVE-2023-6510Chromium: CVE-2023-6510 Use after free in Media CaptureUnknown
Microsoft Office OutlookCVE-2023-35636Microsoft Outlook Information Disclosure VulnerabilityImportant
Microsoft Office OutlookCVE-2023-35619Microsoft Outlook for Mac Spoofing VulnerabilityImportant
Microsoft Office WordCVE-2023-36009Microsoft Word Information Disclosure VulnerabilityImportant
Microsoft Power Platform ConnectorCVE-2023-36019Microsoft Power Platform Connector Spoofing VulnerabilityCritical
Microsoft WDAC OLE DB provider for SQLCVE-2023-36006Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution VulnerabilityImportant
Microsoft Windows DNSCVE-2023-35622Windows DNS Spoofing VulnerabilityImportant
Windows Cloud Files Mini Filter DriverCVE-2023-36696Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityImportant
Windows DefenderCVE-2023-36010Microsoft Defender Denial of Service VulnerabilityImportant
Windows DHCP ServerCVE-2023-35643DHCP Server Service Information Disclosure VulnerabilityImportant
Windows DHCP ServerCVE-2023-35638DHCP Server Service Denial of Service VulnerabilityImportant
Windows DHCP ServerCVE-2023-36012DHCP Server Service Information Disclosure VulnerabilityImportant
Windows DPAPI (Data Protection Application Programming Interface)CVE-2023-36004Windows DPAPI (Data Protection Application Programming Interface) Spoofing VulnerabilityImportant
Windows Internet Connection Sharing (ICS)CVE-2023-35642Internet Connection Sharing (ICS) Denial of Service VulnerabilityImportant
Windows Internet Connection Sharing (ICS)CVE-2023-35630Internet Connection Sharing (ICS) Remote Code Execution VulnerabilityCritical
Windows Internet Connection Sharing (ICS)CVE-2023-35632Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityImportant
Windows Internet Connection Sharing (ICS)CVE-2023-35641Internet Connection Sharing (ICS) Remote Code Execution VulnerabilityCritical
Windows KernelCVE-2023-35633Windows Kernel Elevation of Privilege VulnerabilityImportant
Windows KernelCVE-2023-35635Windows Kernel Denial of Service VulnerabilityImportant
Windows Kernel-Mode DriversCVE-2023-35644Windows Sysmain Service Elevation of PrivilegeImportant
Windows Local Security Authority Subsystem Service (LSASS)CVE-2023-36391Local Security Authority Subsystem Service Elevation of Privilege VulnerabilityImportant
Windows MediaCVE-2023-21740Windows Media Remote Code Execution VulnerabilityImportant
Windows MSHTML PlatformCVE-2023-35628Windows MSHTML Platform Remote Code Execution VulnerabilityCritical
Windows ODBC DriverCVE-2023-35639Microsoft ODBC Driver Remote Code Execution VulnerabilityImportant
Windows Telephony ServerCVE-2023-36005Windows Telephony Server Elevation of Privilege VulnerabilityImportant
Windows USB Mass Storage Class DriverCVE-2023-35629Microsoft USBHUB 3.0 Device Driver Remote Code Execution VulnerabilityImportant
Windows Win32KCVE-2023-36011Win32k Elevation of Privilege VulnerabilityImportant
Windows Win32KCVE-2023-35631Win32k Elevation of Privilege VulnerabilityImportant
XAML DiagnosticsCVE-2023-36003XAML Diagnostics Elevation of Privilege VulnerabilityImportant

Το Microsoft Patch Tuesday είναι μια πρακτική που ακολουθεί η Microsoft, όπου τη δεύτερη Τρίτη του κάθε μήνα κυκλοφορεί ενημερώσεις και διορθώσεις για τα λειτουργικά συστήματα της, τα προγράμματα και τις εφαρμογές της. Αυτές οι ενημερώσεις περιλαμβάνουν συνήθως διορθώσεις ασφαλείας, βελτιώσεις απόδοσης και νέα χαρακτηριστικά.

Ο σκοπός του Microsoft Patch Tuesday είναι να παρέχει στους χρήστες της Microsoft την καλύτερη δυνατή εμπειρία χρήσης, διορθώνοντας προβλήματα και εξασφαλίζοντας την ασφάλεια των συστημάτων τους. Το Microsoft Patch Tuesday είναι σημαντικό για διάφορους λόγους. Καταρχήν, οι ενημερώσεις ασφαλείας βοηθούν στην προστασία των συστημάτων από κενά ασφαλείας και κακόβουλο λογισμικό. Αυτές οι ενημερώσεις διορθώνουν γνωστά προβλήματα ασφαλείας και ενισχύουν την ανθεκτικότητα των συστημάτων έναντι επιθέσεων.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS