Microsoft wydał dzisiaj aktualizację bezpieczeństwa w ramach Patch Tuesday, która usuwa łącznie 77 błędów, w tym trzy luki zero-day.
Pod pojęciem “zero-day” kryje się luka o wysokim stopniu szkodliwości, która może zostać wykorzystana do przeprowadzenia destrukcyjnego cyberataku, a która wciąż nie została załatana. Biorąc pod uwagę, że tegoroczna poprawka usuwa trzy takie błędy, Microsoft zaleca użytkownikom jak najszybsze jej zastosowanie.
Trzy załatane luki zero-days to CVE-2023-21823 (zdalne wykonywanie kodu w komponencie graficznym Windows), CVE-2023-21715 (obejście zabezpieczeń Microsoft Publisher) oraz CVE-2023-23376 (luka w sterowniku systemu plików dziennika Windows podnosząca uprawnienia). Te trzy luki umożliwiały aktorom zagrożeń zdalne wykonanie kodu, obejście zasad makr pakietu Office lub uzyskanie uprawnień systemowych.
Microsoft poinformował również, że będzie dystrybuował tę aktualizację do użytkowników poprzez Microsoft Store, a nie Windows Update. Oznacza to, że klienci z wyłączonymi automatycznymi aktualizacjami w Microsoft Store nie dostaną tej łatki automatycznie i raczej będą musieli sami ją uruchomić.
Firma nie wyszczególniła kto, lub gdzie, wykorzystał te luki do zainicjowania ataków, ale powiedziała, że exploity CVE-2023-21715 pozwalają na uruchomienie złośliwego dokumentu Publisher bez ostrzeżenia użytkownika.
“Sam atak jest przeprowadzany lokalnie przez użytkownika z uwierzytelnieniem do systemu docelowego”, powiedziała firma. “Uwierzytelniony napastnik mógłby wykorzystać lukę przekonując ofiarę, poprzez socjotechnikę, do pobrania i otwarcia specjalnie spreparowanego pliku ze strony internetowej, co mogłoby doprowadzić do lokalnego ataku na komputer ofiary”.
Lutowa aktualizacja zbiorcza Patch Tuesday z 2023 roku likwiduje łącznie dziewięć luk sklasyfikowanych jako “krytyczne”, które umożliwiają zdalne wykonanie kodu.
W sumie Microsoft usunął 12 błędów związanych z podwyższeniem uprawnień, dwa błędy związane z omijaniem zabezpieczeń, 38 błędów związanych ze zdalnym wykonywaniem kodu, 8 błędów związanych z ujawnianiem informacji, 10 błędów związanych z odmową usługi oraz 8 błędów związanych ze spoofingiem. Wcześniej w tym miesiącu Microsoft opublikował poprawki dla trzech dodatkowych luk znalezionych w przeglądarce Edge, które nie są częścią tej aktualizacji.
