Вторник исправлений Microsoft за декабрь: устранено 34 ошибки и один 0day в AMD

Вторник обновлений Microsoft за декабрь 2023 года включает обновления безопасности для 34 недостатков и одной уязвимости нулевого дня в процессорах AMD .

Хотя 8 уязвимостей удаленного выполнения кода (Remote Code Execution, RCE ) были исправлены, Microsoft оценила только 3 как «критические». Всего было обнаружено 4 критических уязвимости: одна в Power Platform (Спуфинг), две в Internet Connection Sharing (RCE) и одна в платформе Windows MSHTML (RCE).

Ниже указано количество ошибок в каждой категории уязвимостей:

• 10 уязвимостей, связанных с повышением привилегий;
• 8 уязвимостей удаленного выполнения кода;
• 6 уязвимостей раскрытия информации;
• 5 уязвимостей отказа в обслуживании (Denial of Service, DoS );
• 5 уязвимостей спуфинга .

Больше информации об обновлениях, не связанных с безопасностью, выпущенных во вторник исправлений, вы можете просмотреть на страницах накопительного обновления Windows 11 KB5033375 и накопительного обновления Windows 10 KB5033372 .

Публично раскрытая уязвимость нулевого дня

Во вторник исправлений в декабре Microsoft исправляет одну уязвимость нулевого дня в затронутых процессорах AMD, обнаруженную в августе, которая ранее оставалась не исправленной.

CVE-2023-20588 (CVSS: 5.5) — уязвимость, связанная с ошибкой деления на ноль в определенных процессорах AMD, которая раскрывает конфиденциальные данные. Ошибка была обнаружена в августе 2023 года, при этом AMD не предоставила никаких исправлений, кроме рекомендаций по устранению.

Разработчики могут смягчить проблему, убедившись, что никакие привилегированные данные не используются в операциях разделения до изменения границ привилегий. AMD считает, что потенциальное воздействие уязвимости невелико, поскольку для нее требуется локальный доступ.

На этой странице, подготовленной изданием BleepingComputer , приведен полный список уязвимостей, устраненных в обновлениях вторника исправлений за декабрь 2023 г.