مایکروسافت وصله های امنیتی ماه اکتبر را منتشر کرد. در این به روز رسانی 104 آسیب پذیری از جمله سه آسیب پذیری Zero-day رفع شده است. علی رغم اینکه 45 آسیب پذیری RCE در بین این آسیب پذیری ها وجود داشته، مایکروسافت تنها 12 مورد از آنها را “حیاتی” عنوان کرده است.
تعداد آسیب پذیری ها در هر دسته به شرح زیر است:
• 26 Elevation of Privilege Vulnerabilities
• 3 Security Feature Bypass Vulnerabilities
• 45 Remote Code Execution Vulnerabilities
• 12 Information Disclosure Vulnerabilities
• 17 Denial of Service Vulnerabilities
• 1 Spoofing Vulnerabilities
سه آسیب پذیری Zero-day
CVE-2023-41763 – Skype for Business Elevation of Privilege Vulnerability
مایکروسافت این آسیب پذیری موجود در نسخه بیزنس اسکایپ که یک آسیب پذیری ارتقا سطح امتیاز می باشد، را رفع نموده است. مهاجم می تواند از این آسیب پذیری برای دسترسی به یک سیستم در شبکه داخلی بهره برداری کند.
CVE-2023-36563 – Microsoft WordPad Information Disclosure Vulnerability
این آسیب پذیری می تواند به منظور سرقت هش های NTLM هنگامی که یک مستند WordPad باز می شود، بهره برداری گردد.
هش های NTLM را می توان کرک نمود یا در حملات NTLM Relay برای دسترسی به حساب کاربری استفاده کرد.
CVE-2023-44487 – HTTP/2 Rapid Reset Attack
مایکروسافت یک وصله نیز برای این آسیب پذیری zero-day جدید که در حملات DDoS ماه آگوست از آن بهره برداری شده، منتشر نموده است. در این حملات از قابلیت لغو استریم HTTP/2 برای ارسال و لغو مداوم درخواستها سواستفاده می شود.
دو آسیب پذیری CVE-2023-41763 و CVE-2023-36563 به صورت عمومی نیز افشا شده اند.
آپدیت آخرین سایر شرکتها:
• Apple fixed two zero-days with the release of iOS 17.0.3.
• Arm disclosed new Mali GPU flaws exploited in attacks.
• Cisco released security updates for various products, including hard-coded root credentials in Emergency Responder.
• Citrix released fixes for a Citrix NetScaler ADC and Gateway flaw that exposes ‘sensitive’ information.
• Technical details released for D-Link DAP-X1860 WiFi 6 range extender zero-day.
• Exim patched three of six disclosed zero-days.
• Google released the Android October 2023 security updates to fix actively exploited vulnerabilities.
• GNOME is impacted by an RCE flaw that can be triggered by downloading a cue file.
• New ‘HTTP/2 Rapid Reset’ zero-day attack breaks DDoS records.
• Linux distros are impacted by a new ‘Looney Tunables‘ bug that gives root on impacted systems.
• Marvin attack revives 25-year-old decryption flaw in RSA.
• Microsoft released an emergency update for Edge and Teams to fix two zero-days.
• SAP has released its October 2023 Patch Day updates.
• New ShellTorch flaws impact the open-source TorchServe AI model-serving tool.