Σήμερα είναι η Τρίτη της Microsoft για την ενημέρωση Δεκεμβρίου 2023, η οποία περιλαμβάνει ενημερώσεις ασφαλείας για συνολικά 34 ελαττώματα και μία ευπάθεια που είχε αποκαλυφθεί προηγουμένως, χωρίς επιδιόρθωση σε επεξεργαστές AMD.
Ενώ διορθώθηκαν οκτώ σφάλματα απομακρυσμένης εκτέλεσης κώδικα (RCE), η Microsoft βαθμολόγησε μόνο τρία ως κρίσιμα. Συνολικά, υπήρχαν τέσσερα κρίσιμα τρωτά σημεία, με ένα στο Power Platform (Spoofing), δύο στο Internet Connection Sharing (RCE) και ένα στο Windows MSHTML Platform (RCE).
Ο αριθμός των σφαλμάτων σε κάθε κατηγορία ευπάθειας παρατίθεται παρακάτω:
- 10 Ανύψωση ευπαθειών προνομίων
- 8 ευπάθειες απομακρυσμένης εκτέλεσης κώδικα
- 6 τρωτά σημεία αποκάλυψης πληροφοριών
- 5 Ευπάθειες άρνησης υπηρεσίας
- 5 Ευπάθειες πλαστογράφησης
Ο συνολικός αριθμός των 34 ελαττωμάτων δεν περιλαμβάνει 8 ελαττώματα του Microsoft Edge που διορθώθηκαν στις 7 Δεκεμβρίου.
Για να μάθετε περισσότερα σχετικά με τις ενημερώσεις που δεν αφορούν την ασφάλεια που κυκλοφόρησαν σήμερα, μπορείτε να ανατρέξετε στα ειδικά άρθρα μας σχετικά με τη νέα αθροιστική ενημέρωση των
Windows 11
KB5033375 και την αθροιστική ενημέρωση των Windows 10 KB5033372.
Διορθώθηκε ένα δημοσίως μηδενικό-ημέρα
Το Patch Tuesday αυτού του μήνα επιδιορθώνει μια ευπάθεια zero-day της AMD που αποκαλύφθηκε τον Αύγουστο και η οποία στο παρελθόν παρέμενε χωρίς επιδιόρθωση.
Ο ‘
CVE-2023-20588 – AMD: CVE-2023-20588 AMD Speculative Leaks
Η ευπάθεια είναι ένα σφάλμα διαίρεσης προς μηδέν σε συγκεκριμένους επεξεργαστές AMD που θα μπορούσαν ενδεχομένως να επιστρέψουν ευαίσθητα δεδομένα.
Το ελάττωμα αποκαλύφθηκε τον Αύγουστο του 2023, με την AMD να μην παρέχει επιδιορθώσεις εκτός από το να προτείνει τον ακόλουθο μετριασμό.
«Για τα επηρεαζόμενα προϊόντα, η AMD συνιστά να ακολουθούνται οι βέλτιστες πρακτικές ανάπτυξης λογισμικού», αναφέρει το an
Δελτίο AMD
στο CVE-2023-20588.
“Οι προγραμματιστές μπορούν να μετριάσουν αυτό το ζήτημα διασφαλίζοντας ότι δεν χρησιμοποιούνται προνομιακά δεδομένα σε λειτουργίες διαίρεσης πριν από την αλλαγή των ορίων προνομίων. Η AMD πιστεύει ότι ο πιθανός αντίκτυπος αυτής της ευπάθειας είναι χαμηλός επειδή απαιτεί τοπική πρόσβαση.”
Ως μέρος των σημερινών ενημερώσεων του Δεκεμβρίου, η Microsoft κυκλοφόρησε μια ενημέρωση ασφαλείας που επιλύει αυτό το σφάλμα στους επηρεασμένους επεξεργαστές AMD.
Πρόσφατες ενημερώσεις από άλλες εταιρείες
Άλλοι προμηθευτές που κυκλοφόρησαν ενημερώσεις ή συμβουλές τον Δεκέμβριο του 2023 περιλαμβάνουν:
Οι ενημερώσεις ασφαλείας της ενημέρωσης κώδικα Τρίτης Δεκεμβρίου 2023
Παρακάτω είναι η πλήρης λίστα των επιλυμένων τρωτών σημείων στις ενημερώσεις του Δεκεμβρίου 2023 του Patch Tuesday.
Για πρόσβαση στην πλήρη περιγραφή κάθε ευπάθειας και των συστημάτων που επηρεάζει, μπορείτε να δείτε την πλήρη αναφορά εδώ.
| Ετικέτα | Αναγνωριστικό CVE | Τίτλος CVE | Αυστηρότητα |
|---|---|---|---|
|
Azure Connected Machine Agent |
CVE-2023-35624 |
Azure Connected Machine Agent Elevation of Privilege Vulnerability | Σπουδαίος |
| Azure Machine Learning |
CVE-2023-35625 |
Ευπάθεια αποκάλυψης πληροφοριών για το Azure Machine Learning Compute Instance για χρήστες SDK | Σπουδαίος |
| Chipsets |
CVE-2023-20588 |
AMD: CVE-2023-20588 Σημείωση ασφαλείας για τις κερδοσκοπικές διαρροές της AMD |
Σπουδαίος |
|
Microsoft πρόγραμμα οδήγηση ς Bluetooth |
CVE-2023-35634 |
Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα προγράμματος οδήγησης Bluetooth των Windows | Σπουδαίος |
| Microsoft Dynamics |
CVE-2023-35621 |
Ευπάθεια άρνησης υπηρεσίας Microsoft Dynamics 365 Finance and Operations | Σπουδαίος |
| Microsoft Dynamics |
CVE-2023-36020 |
Ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών Microsoft Dynamics 365 (on-premises). | Σπουδαίος |
| Microsoft Edge (βασισμένο σε Chromium) |
CVE-2023-35618 |
Microsoft Edge (βασισμένο σε Chromium) Ανύψωση ευπάθειας προνομίων | Μέτριος |
| Microsoft Edge (βασισμένο σε Chromium) |
CVE-2023-36880 |
Ευπάθεια αποκάλυψης πληροφοριών του Microsoft Edge (με βάση το Chromium). | Χαμηλός |
| Microsoft Edge (βασισμένο σε Chromium) |
CVE-2023-38174 |
Ευπάθεια αποκάλυψης πληροφοριών του Microsoft Edge (με βάση το Chromium). | Χαμηλός |
| Microsoft Edge (βασισμένο σε Chromium) |
CVE-2023-6509 |
Chromium: CVE-2023-6509 Χρήση μετά τη δωρεάν στην Αναζήτηση στο πλευρικό πλαίσιο | Αγνωστος |
| Microsoft Edge (βασισμένο σε Chromium) |
CVE-2023-6512 |
Chromium: CVE-2023-6512 Ακατάλληλη υλοποίηση στη διεπαφή χρήστη του προγράμματος περιήγησης Ιστού | Αγνωστος |
| Microsoft Edge (βασισμένο σε Chromium) |
CVE-2023-6508 |
Chromium: CVE-2023-6508 Χρήση μετά τη δωρεάν χρήση στη ροή πολυμέσων | Αγνωστος |
| Microsoft Edge (βασισμένο σε Chromium) |
CVE-2023-6511 |
Chromium: CVE-2023-6511 Ακατάλληλη υλοποίηση στην Αυτόματη Συμπλήρωση | Αγνωστος |
| Microsoft Edge (βασισμένο σε Chromium) |
CVE-2023-6510 |
Chromium: CVE-2023-6510 Χρήση μετά τη δωρεάν λήψη στη λήψη πολυμέσων | Αγνωστος |
| Microsoft Office Outlook |
CVE-2023-35636 |
Ευπάθεια αποκάλυψης πληροφοριών του Microsoft Outlook | Σπουδαίος |
| Microsoft Office Outlook |
CVE-2023-35619 |
Ευπάθεια πλαστογράφησης του Microsoft Outlook για Mac | Σπουδαίος |
| Microsoft Office Word |
CVE-2023-36009 |
Ευπάθεια αποκάλυψης πληροφοριών του Microsoft Word | Σπουδαίος |
| Υποδοχή Microsoft Power Platform |
CVE-2023-36019 |
Ευπάθεια πλαστογράφησης του Microsoft Power Platform Connector |
Κρίσιμος |
| Πάροχος Microsoft WDAC OLE DB για SQL |
CVE-2023-36006 |
Ευπάθεια εκτέλεσης κώδικα απομακρυσμένου κώδικα Microsoft WDAC OLE DB για SQL Server | Σπουδαίος |
| Microsoft Windows DNS |
CVE-2023-35622 |
Ευπάθεια πλαστογράφησης DNS των Windows | Σπουδαίος |
| Πρόγραμμα οδήγησης Mini Filter Files Windows Cloud |
CVE-2023-36696 |
Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Σπουδαίος |
| Windows Defender |
CVE-2023-36010 |
Ευπάθεια άρνησης υπηρεσίας του Microsoft Defender | Σπουδαίος |
| Windows DHCP Server |
CVE-2023-35643 |
Ευπάθεια αποκάλυψης πληροφοριών υπηρεσίας διακομιστή DHCP | Σπουδαίος |
| Windows DHCP Server |
CVE-2023-35638 |
Ευπάθεια άρνησης υπηρεσίας διακομιστή DHCP | Σπουδαίος |
| Windows DHCP Server |
CVE-2023-36012 |
Ευπάθεια αποκάλυψης πληροφοριών υπηρεσίας διακομιστή DHCP | Σπουδαίος |
| Windows DPAPI (Διεπαφή προγραμματισμού εφαρμογής προστασίας δεδομένων) |
CVE-2023-36004 |
Windows DPAPI (Διεπαφή προγραμματισμού εφαρμογής προστασίας δεδομένων) Ευπάθεια πλαστογράφησης | Σπουδαίος |
| Κοινή χρήση σύνδεσης στο Διαδίκτυο των Windows (ICS) |
CVE-2023-35642 |
Ευπάθεια άρνησης υπηρεσίας κοινής χρήσης σύνδεσης στο Internet (ICS). | Σπουδαίος |
| Κοινή χρήση σύνδεσης στο Διαδίκτυο των Windows (ICS) |
CVE-2023-35630 |
Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα κοινής χρήσης σύνδεσης στο Internet (ICS). |
Κρίσιμος |
| Κοινή χρήση σύνδεσης στο Διαδίκτυο των Windows (ICS) |
CVE-2023-35632 |
Πρόγραμμα οδήγησης βοηθητικής λειτουργίας των Windows για ευπάθεια προνομίου WinSock Elevation | Σπουδαίος |
| Κοινή χρήση σύνδεσης στο Διαδίκτυο των Windows (ICS) |
CVE-2023-35641 |
Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα κοινής χρήσης σύνδεσης στο Internet (ICS). |
Κρίσιμος |
| Πυρήνας των Windows |
CVE-2023-35633 |
Ευπάθεια προνομίου ανύψωσης πυρήνα των Windows | Σπουδαίος |
| Πυρήνας των Windows |
CVE-2023-35635 |
Ευπάθεια άρνησης υπηρεσίας πυρήνα των Windows | Σπουδαίος |
| Πρόγραμμα οδήγησης για Windows Kernel-Mode |
CVE-2023-35644 |
Windows Sysmain Service Elev of Privilege | Σπουδαίος |
| Υπηρεσία υποσυστήματος τοπικής αρχής ασφαλείας των Windows (LSASS) |
CVE-2023-36391 |
Υπηρεσίες υποσυστήματος τοπικής αρχής ασφαλείας Ανύψωση ευπάθειας προνομίων | Σπουδαίος |
| Windows Media |
CVE-2023-21740 |
Θέμα ευπάθειας εκτέλεσης απομακρυσμένου κώδικα των Windows Media | Σπουδαίος |
| Πλατφόρμα MSHTML των Windows |
CVE-2023-35628 |
Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα πλατφόρμας Windows MSHTML |
Κρίσιμος |
| Πρόγραμμα οδήγησης ODBC των Windows |
CVE-2023-35639 |
Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα προγράμματος οδήγησης Microsoft ODBC | Σπουδαίος |
| Windows Telephony Server |
CVE-2023-36005 |
Ανύψωση ευπάθειας προνομίου διακομιστή Windows Telephony | Σπουδαίος |
| Πρόγραμμα οδήγησης για Windows USB Mass Storage Class |
CVE-2023-35629 |
Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα προγράμματος οδήγησης συσκευής Microsoft USBHUB 3.0 | Σπουδαίος |
| Windows Win32K |
CVE-2023-36011 |
Win32k Elevation of Privilege Vulnerability | Σπουδαίος |
| Windows Win32K |
CVE-2023-35631 |
Win32k Elevation of Privilege Vulnerability | Σπουδαίος |
| XAML Diagnostics |
CVE-2023-36003 |
XAML Diagnostics Elevation of Privilege Vulnerability | Σπουδαίος |
VIA:
bleepingcomputer.com
