Dana 12. prosinca 2023. godine, tvrtka Microsoft je objavila standardni set zakrpa za prosinac 2023. godine (engl. December 2023 Patch Tuesday), koje obuhvaćaju sigurnosna ažuriranja za ukupno 35 ranjivosti, uključujući četiri kritične ranjivosti te se preporuča žurno ažuriranje zahvaćenih proizvoda.

 

Tehnički detalji ključnih ranjivosti otklonjenih ovim ažuriranjem:

Ranjivosti CVE-2023-35630 i CVE-2023-35641 (obje CVSS ocjena 8,8) zahvaćaju uslugu Windows Internet Connection Sharing (ICS). Slanjem zlonamjerno oblikovanih DHCP poruka prema serveru koji pokreće uslugu ICS, napadač može postići udaljeno izvršavanje koda (engl. remote code execution - RCE).

Ranjivost CVE-2023-36019 (CVSS ocjena 9,6) zahvaća platformu za međusobno povezivanje usluga – Microsoft Power Platform Connector. S ciljem zavaravanja žrtve, napadač može manipulirati zlonamjernom poveznicom, aplikacijom ili datotekom kako bi iste prikazao kao legitimne.

Ranjivost CVE-2023-35628 (CVSS ocjena 8,1) zahvaća Windows MSHTML komponentu. Kako bi se iskoristila ranjivost, koja može rezultirati udaljenim izvršavanjem koda na računalu žrtve, napadač treba poslati zlonamjernu poveznicu žrtvi putem elektroničke pošte ili u poruci Instant Messenger usluge. Također zlonamjerni korisnik može iskoristiti ovu ranjivost i prije nego što se elektronička pošta pregleda unutar prikaznog okvira (engl. Preview Pane), slanjem posebno oblikovane elektroničke pošte koja se automatski pokreće prilikom preuzimanja i obrade unutar Outlook webmail klijenta.

 

Zahvaćeni Microsoft Windows proizvodi:

Korisnici trebaju pregledati detaljne upute unutar Microsoftovog sigurnosnog upozorenja za više informacija o određenim verzijama.

 

Preporuke: 

Korisnicima se preporuča žurna primjena potrebnih zakrpa kako bi zaštitili svoje informacijske sustave od potencijalnog iskorištavanja ranjivosti.

 

Više informacija moguće je pročitati na poveznicama u nastavku:

[inicijalna objava: 20.12.2023 - 14:03]