Višestruke kritične ranjivosti u Microsoft proizvodima

 Microsoft je objavio sigurnosne nadogradnje za mjesec svibanj 2023. godine, s kojima se adresira ukupno 38 ranjivosti, uključujući tri ranjivosti nultog dana i šest kritičnih ranjivosti koje omogućuju izvršavanje koda putem udaljenog pristupa.
 
Nadogradnje adresiraju ranjivosti u različitim Microsoft proizvodima i uslugama, uključujući Windows, Microsoft Office, Microsoft Edge i druge. Ranjivosti obuhvaćaju eskalaciju privilegija, zaobilaženje sigurnosnih značajki, izvršavanje koda putem udaljenog pristupa, otkrivanja informacija, uskraćivanja usluge i prikrivanja identiteta.
 
Tri ranjivosti nultog dana su popravljene u ovoj nadogradnji:
CVE-2023-29336: Ranjivost eskalacije privilegija Win32k
CVE-2023-24932: Ranjivost zaobilaženja sigurnosne značajke Secure Boot
CVE-2023-29325: Ranjivost izvršavanja koda putem udaljenog pristupa Windows OLE
 
Prve dvije ranjivosti nultog dana već se javno iskorištavaju za napade, dok treća nije aktivno iskorištena, ali je javno objavljena.
 
Zahvaćeni proizvodi:
• Windows (više verzija)
• Microsoft Office
• Microsoft Edge (baziran na Chromiumu)
• Microsoft Graphics Component
• Microsoft Teams
• Microsoft Windows Codecs Library
• Remote Desktop Client
• SysInternals
• Visual Studio Code
• Windows Backup Engine
• Windows Installer
• Windows iSCSI Target Service
• Windows LDAP - Lightweight Directory Access Protocol
• Windows MSHTML Platform
• Windows Network File System
• Windows NFS Portmapper
• Windows NTLM
• Windows OLE
• Windows PGM
• Windows RDP Client
• Windows Remote Procedure Call Runtime
• Windows Secure Boot
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows SMB
• Windows Win32K

 
Preporuča se od strane proizvođača da se što prije primijene sigurnosna ažuriranja kako bi zaštitili informacijski sustavi protiv potencijalnog iskorištavanja.
 
Više je moguće pročitati na poveznicama u nastavku:

[Inicijalna objava: 18.5.2023, 13:53]