Microsoft на этой неделе выпустила новые патчи для исправления программных ошибок в Windows и прочих приложениях компании. Самые важные обновления закрывают пару уязвимостей нулевого дня. Две обнаруженные за последние недели ошибки Exchange до сих пор несут угрозу почтовым серверам по всему миру.

Обновления безопасности Microsoft за октябрь включают в себя патчи для 84 уязвимостей в различных компонентах Windows (от ядра до драйвера компакт-диска), Microsoft Edge, Azure, доменных службах Active Directory, коде Visual Studio, файловой системе NTFS, TCP/IP, Win32K API и т.д. 13 уязвимостей названы критическими, так как они представляют собой наибольшую опасность для серверов и потребительских систем.

Закрыто 39 уязвимостей повышения привилегий, 2 уязвимости обхода функций безопасности, 20 уязвимостей удалённого выполнения кода, 11 уязвимостей раскрытия информации, 8 уязвимостей отказа в обслуживании и 4 уязвимости спуфинга. Десяток уязвимостей в браузере Edge были исправлены 3 октября.

Закрыты две уязвимости нулевого дня, уже используемые злоумышленниками. Одна представляет собой уязвимость системы событий Windows COM+, связанную с повышением привилегий (CVE-2022-41033). Если воспользоваться ей, можно получить системные привилегии, имея локальный доступ к целевой системе.

Ещё есть уязвимость раскрытия информации Microsoft Office (CVE-2022-41043). Хакеры могут использовать её для раскрытия пользовательских токенов и «другой потенциально конфиденциальной информации». CVE-2022-41033 была обнаружена «анонимным» исследователем, а CVE-2022-41043 нашёл исследователь безопасности SpecterOps Коди Томасом, пишет Techspot.