У Microsoft знайшли критичну вразливість ОС Windows, яка існувала 24 роки

В останньому оновленні Patch Tues­day, випущеному цього місяця, було усунуто 73 вразливості в програмному забезпеченні компанії, включно з двома zero-day вразливостями, що активно експлуатуються зловмисниками, та однією по-справжньому давньою вразливістю, яка існує в Win­dows уже 24 роки.

Серед виправлених вразливостей 5 отримали статус “критичні”, 65 оцінено як “важливі”, а ще 3 — як “помірні”. Крім того, було усунуто 24 недоліки у фірмовому браузері Microsoft на базі Chromi­um — Edge.

Особливу увагу привертають дві вразливості, які на момент випуску оновлень активно експлуатувалися:

CVE-2024–21351 (оцінка CVSS 7.6), пов’язана з обходом захисту Win­dows SmartScreen;
CVE-2024–21412 (оцінка CVSS 8.1), що дає змогу обходити захист у файлах ярликів інтернету.

Microsoft наголосила на серйозності вразливості CVE-2024–21351, вказавши на можливість впровадження коду зловмисником із потенційним виконанням, що може призвести до витоку даних або збоїв у системі. А CVE-2024–21412 дає можливість неавтентифікованому нападнику обійти захисні заходи, надіславши спеціально створений файл потенційній жертві.

Обидві вразливості було додано до каталогу Known Exploit­ed Vul­ner­a­bil­i­ties (KEV) агентством кібербезпеки та інфраструктурної безпеки США (CISA), з рекомендацією федеральним агентствам США застосувати необхідні оновлення до 5 березня 2024 року.

Нагадаємо — у січні спеціалісти з безпеки виявили вірус Pheme­drone Steal­er, який краде зі скомпрометованих пристроїв Win­dows конфіденційні дані. Серед них — паролі та cook­ie-файли автентифікації, які відправляються оператору шкідливості.