- Není to tak rušný měsíc na vydání Microsoft Patch Tuesday s 38 CVE.
- Ze všech CVE sedm je hodnoceno jako kritické a 31 je hodnoceno jako důležité z hlediska závažnosti.
- Do tohoto článku jsme zahrnuli všechny a také s přímými odkazy.
XINSTALUJTE KLIKNUTÍM NA STAŽENÍ SOUBORU
- Stáhněte si Restoro PC Repair Tool který přichází s patentovanými technologiemi (patent k dispozici tady).
- Klikněte Začni skenovat najít problémy se systémem Windows, které by mohly způsobovat problémy s počítačem.
- Klikněte Opravit vše opravit problémy ovlivňující zabezpečení a výkon vašeho počítače.
- Restoro byl stažen uživatelem 0 čtenáři tento měsíc.
Už je květen a všichni se dívají na Microsoft v naději, že některé z nedostatků, se kterými se potýkali, budou konečně opraveny.
Již jsme poskytli přímé odkazy ke stažení pro kumulativní aktualizace vydané dnes pro Windows 10 a 11, ale nyní je čas znovu mluvit o kritických zranitelnostech a ohroženích.
Tento měsíc vydal technický gigant z Redmondu 38 nových oprav, což je mnohem méně, než někteří lidé těsně po Velikonocích očekávali.
Tyto aktualizace softwaru řeší CVE v:
- Microsoft Windows a součásti Windows
- .NET a Visual Studio
- Microsoft Edge (založené na prohlížeči Chromium)
- Microsoft Exchange Server
- Kancelář a kancelářské komponenty
- Windows Hyper-V
- Metody ověřování systému Windows
- BitLocker
- Windows Cluster Shared Volume (CSV)
- Klient vzdálené plochy
- Síťový souborový systém Windows
- NTFS
- Windows Point-to-Point Tunneling Protocol
Za květen Microsoft vydal pouze 38 nových oprav, což je stále mnohem méně, než někteří lidé očekávali pro pátý měsíc roku 2023.
Jeden z nejlehčích měsíců Microsoftu s pouze 38 aktualizacemi
Není to nejrušnější, ale také ne nejlehčí měsíc pro bezpečnostní experty Microsoftu, takže si před létem můžeme trochu odpočinout.
Možná byste rádi věděli, že z 38 nových vydaných CVE je sedm hodnoceno jako kritické a 31 jako důležité z hlediska závažnosti.
Jak už asi mnozí víte, květen je vždy historicky menší měsíc pro opravy, ale objem tohoto měsíce je nejnižší od srpna 2021.
Vězte, že jeden z nových CVE je uveden jako pod aktivním útokem a dva jsou uvedeny jako veřejně známé v době vydání.
| CVE | Titul | Vážnost | CVSS | Veřejnost | Využito | Typ |
| CVE-2023-29336 | Zranitelnost Win32k Elevation of Privilege | Důležité | 7.8 | Ne | Ano | EoP |
| CVE-2023-29325 | Chyba zabezpečení vzdáleného spuštění kódu Windows OLE | Kritické | 8.1 | Ano | Ne | RCE |
| CVE-2023-24932 | Zabezpečení funkce Secure Boot Obejití chyby zabezpečení | Důležité | 6.7 | Ano | Ne | SFB |
| CVE-2023-24955 | Chyba zabezpečení vzdáleného spuštění kódu serveru Microsoft SharePoint Server | Kritické | 7.2 | Ne | Ne | RCE |
| CVE-2023-28283 | Chyba zabezpečení vzdáleného spuštění kódu Windows Lightweight Directory Access Protocol (LDAP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-29324 | Chyba zabezpečení zvýšení úrovně oprávnění platformy Windows MSHTML | Kritické | 7.5 | Ne | Ne | EoP |
| CVE-2023-24941 | Chyba zabezpečení vzdáleného spuštění kódu v systému souborů Windows | Kritické | 9.8 | Ne | Ne | RCE |
| CVE-2023-24943 | Chyba zabezpečení vzdáleného spuštění kódu systému Windows Pragmatic General Multicast (PGM). | Kritické | 9.8 | Ne | Ne | RCE |
| CVE-2023-24903 | Chyba zabezpečení vzdáleného spuštění kódu Windows Secure Socket Tunneling Protocol (SSTP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-29340 | Chyba zabezpečení vzdáleného spuštění kódu AV1 Video Extension | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-29341 | Chyba zabezpečení vzdáleného spuštění kódu AV1 Video Extension | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-29333 | Chyba zabezpečení Microsoft Access Denial of Service | Důležité | 3.3 | Ne | Ne | DoS |
| CVE-2023-29350 | Chyba zabezpečení zvýšení úrovně oprávnění Microsoft Edge (založené na prohlížeči Chromium). | Důležité | 7.5 | Ne | Ne | EoP |
| CVE-2023-24953 | Chyba zabezpečení aplikace Microsoft Excel pro vzdálené spuštění kódu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-29344 | Chyba zabezpečení vzdáleného spuštění kódu Microsoft Office | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-24954 | Chyba zabezpečení zpřístupnění informací serveru Microsoft SharePoint Server | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2023-24950 | Chyba zabezpečení týkající se falšování serveru Microsoft SharePoint Server | Důležité | 6.5 | Ne | Ne | Spoofing |
| CVE-2023-24881 | Chyba zabezpečení Microsoft Teams zpřístupnění informací | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2023-29335 | Funkce zabezpečení aplikace Microsoft Word obchází chybu zabezpečení | Důležité | 7.5 | Ne | Ne | SFB |
| CVE-2023-24905 | Chyba zabezpečení vzdáleného spuštění kódu klienta vzdálené plochy | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-28290 | Chyba zabezpečení zpřístupnění informací klienta protokolu vzdálené plochy | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2023-24942 | Chyba zabezpečení typu Denial of Service za běhu vzdáleného volání procedury | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-24939 | Server pro chybu zabezpečení NFS Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-29343 | Chyba zabezpečení SysInternals Sysmon for Windows Elevation of Privilege | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-29338 | Chyba zabezpečení zpřístupnění informací kódu sady Visual Studio | Důležité | 5 | Ne | Ne | Info |
| CVE-2023-24902 | Zranitelnost Win32k Elevation of Privilege | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-24946 | Chyba zabezpečení zvýšení úrovně oprávnění služby Windows Backup Service | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-24948 | Chyba zabezpečení zvýšení úrovně oprávnění ovladače Windows Bluetooth | Důležité | 7.4 | Ne | Ne | EoP |
| CVE-2023-24944 | Chyba zabezpečení zpřístupnění informací ovladače Bluetooth systému Windows | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2023-24947 | Chyba zabezpečení vzdáleného spuštění kódu ovladače Bluetooth systému Windows | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2023-28251 | Seznam odvolaných ovladačů systému Windows Obejití chyby zabezpečení funkce zabezpečení | Důležité | 5.5 | Ne | Ne | SFB |
| CVE-2023-24899 | Chyba zabezpečení zvýšení úrovně oprávnění grafické součásti systému Windows | Důležité | 7 | Ne | Ne | EoP |
| CVE-2023-24904 | Chyba zabezpečení vyšší úrovně oprávnění Instalační služba Windows Installer | Důležité | 7.1 | Ne | Ne | EoP |
| CVE-2023-24945 | Chyba zabezpečení služby Windows iSCSI Target zpřístupnění informací | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2023-24949 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-24901 | Chyba zabezpečení zpřístupnění informací nástroje Windows NFS Portmapper | Důležité | 7.5 | Ne | Ne | Info |
| CVE-2023-24900 | Chyba zabezpečení poskytovatele podpory zabezpečení Windows NTLM zpřístupnění informací | Důležité | 5.9 | Ne | Ne | Info |
| CVE-2023-24940 | Chyba zabezpečení odepření služby systému Windows Pragmatic General Multicast (PGM). | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-24898 | Chyba zabezpečení Windows SMB Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-29354 | Bezpečnostní funkce Microsoft Edge (založené na prohlížeči Chromium) obchází chybu zabezpečení | Mírný | 4.7 | Ne | Ne | SFB |
| CVE-2023-2459 * | Chromium: CVE-2023-2459 Nevhodná implementace ve Výzvách | Střední | N/A | Ne | Ne | RCE |
| CVE-2023-2460 * | Chromium: CVE-2023-2460 Nedostatečné ověření nedůvěryhodného vstupu v rozšířeních | Střední | N/A | Ne | Ne | RCE |
| CVE-2023-2462 * | Chromium: CVE-2023-2462 Nevhodná implementace ve Výzvách | Střední | N/A | Ne | Ne | RCE |
| CVE-2023-2463 * | Chromium: CVE-2023-2463 Nevhodná implementace v režimu celé obrazovky | Střední | N/A | Ne | Ne | RCE |
| CVE-2023-2464 * | Chromium: CVE-2023-2464 Nevhodná implementace v PictureInPicture | Střední | N/A | Ne | Ne | RCE |
| CVE-2023-2465 * | Chromium: CVE-2023-2465 Nevhodná implementace v CORS | Střední | N/A | Ne | Ne | RCE |
| CVE-2023-2466 * | Chromium: CVE-2023-2466 Nevhodná implementace ve Výzvách | Nízký | N/A | Ne | Ne | RCE |
| CVE-2023-2467 * | Chromium: CVE-2023-2467 Nevhodná implementace ve Výzvách | Nízký | N/A | Ne | Ne | RCE |
| CVE-2023-2468 * | Chromium: CVE-2023-2468 Nevhodná implementace v PictureInPicture | Nízký | N/A | Ne | Ne | RCE |
Pojďme se na to blíže podívat CVE-2023-29336, protože je to jediná chyba uvedená jako pod aktivním útokem v době vydání.
V důsledku toho se musíte vrátit až do května minulého roku, než najdete měsíc, kde nebyla alespoň jedna chyba Microsoftu pod aktivním útokem.
Ve skutečnosti je tento typ eskalace oprávnění obvykle kombinován s chybou při spuštění kódu za účelem šíření malwaru, proto doporučujeme opatrnost.
Tip odborníka:
SPONZOROVÁNO
Některé problémy s PC je těžké řešit, zejména pokud jde o poškozená úložiště nebo chybějící soubory Windows. Pokud máte potíže s opravou chyby, váš systém může být částečně rozbitý.
Doporučujeme nainstalovat Restoro, nástroj, který prohledá váš stroj a zjistí, v čem je chyba.
Klikněte zde stáhnout a začít opravovat.
Přesun na CVE-2023-29325, dozvídáme se, že zatímco název říká OLE, pokud jde o tuto chybu, skutečnou součástí, které je třeba se obávat, je Outlook.
Upozorňujeme, že tato chyba zabezpečení umožňuje útočníkovi spustit svůj kód v postiženém systému odesláním speciálně vytvořeného e-mailu RTF.
The Podokno náhledu je vektor útoku, takže cíl ani nemusí číst vytvořenou zprávu, a přestože Outlook je pravděpodobnější vektor zneužití, jsou ovlivněny i jiné aplikace Office.
Microsoft zmínil, že se jedná o jednu z veřejně známých chyb opravených tento měsíc a byla široce diskutována na Twitteru.
CVE-2023-24941 bylo přiděleno CVSS 9.8 a umožňuje vzdálenému neověřenému útočníkovi spustit libovolný kód na postiženém systému se zvýšenými oprávněními.
A nejhorší na tom je, že není vyžadována žádná interakce uživatele. Další zajímavou věcí na této chybě zabezpečení je, že existuje v systému NFS verze 4.1, ale nikoli ve verzích NFSv2.0 nebo NFSv3.0.
Ujišťujeme vás, že tuto chybu můžete zmírnit downgradem na předchozí verzi, ale společnost Microsoft varuje, že byste toto zmírnění neměli používat, pokud nemáte CVE-2022-26937 nainstalovaný patch z května 2022.
Při sledování zbývajících kriticky hodnocených záplat je zde další chyba CVSS 9.8 v Pragmatic General Multicast (PGM), která vypadá stejně jako chyba PGM opravená minulý měsíc.
Je důležité vědět, že by to mohlo naznačovat neúspěšný patch nebo pravděpodobněji široký útočný povrch v PGM, který se právě začíná zkoumat.
Existují také záplaty pro kriticky hodnocené chyby v protokolech LDAP a SSTP a zajímavou chybu v MSHTML, která by mohla umožnit vzdálenému útočníkovi eskalovat na oprávnění správce.
Technologický gigant v Redmondu zde neuvádí podrobnosti, ale bere na vědomí, že je vyžadována určitá úroveň oprávnění.
Příští vydání Patch Tuesday bude 10. května, takže se příliš nezdržujte současným stavem věcí, protože se může změnit dříve, než si myslíte.
Byl pro vás tento článek užitečný? Podělte se o svůj názor v sekci komentářů níže.
