Firma Microsoft wydaje pilne ostrzeżenie w sprawie aktywnej luki w zabezpieczeniach usługi Windows Update

Słuchaj, zanim w ogóle przejdziemy do sedna problemów, jeśli korzystasz z systemu Windows, upewnij się, że masz najnowsze aktualizacje. Wczorajszy „wtorek z łatką” przyniósł poprawki prawie 80 różnych błędów bezpieczeństwa w niemal każdym produkcie Microsoftu, ale prawdziwe zmartwienie wiąże się z błędem dnia zerowego, który został już załatany.

Właściwie, przepraszam; niech to będą cztery dni zerowe. Jeśli nie znasz żargonu związanego z bezpieczeństwem, „dzień zerowy” to exploit bezpieczeństwa, który w chwili wykrycia jest już aktywnie wykorzystywany. Rzeczywiście, Microsoft w pakiecie aktualizacji z tego miesiąca załatał błędy dnia zerowego w programie Office Publisher, Windows Mark of the Web, Instalatorze Windows i Windows Update.

Prawdopodobnie najpoważniejszy był CVE-2024-43491, „Luka w zabezpieczeniach Microsoft Windows Update umożliwiająca zdalne wykonanie kodu”, przypisano poziom ważności „Krytyczny” i ocenę CVSS na poziomie 9,8 z 10. Błąd dotyczy tylko systemu Windows 10, ale jest łatwy do usunięcia. atak, który można przeprowadzić przez Internet i który umożliwia atakującemu wykonanie kodu na podatnej maszynie bez uwierzytelniania. To oczywiście jest złe.
Luka w zabezpieczeniach systemu Windows Update umożliwiająca zdalne wykonanie kodu
Z stronie MSRC o najpoważniejszej luce usuniętej we wczorajszych aktualizacjach.

Wydaje się, że lukę w rzeczywistości spowodował sam Microsoft, ponieważ luki stanowiące powierzchnię ataku zostały już raz załatane, ale wydana w marcu aktualizacja zabezpieczeń złamała zabezpieczenia dotyczące tych luk. Jak zauważyliśmy, usterka dotyczy tylko systemu Windows 10, ale inne, mniej poważne przypadki „zero-day” są bardziej ogólne i obejmują system Windows 11.

Ostatecznie musisz wiedzieć, że Microsoft ma już wszystkie te problemy załatane. Po prostu pobierz najnowsze aktualizacje zabezpieczeń — prawdopodobnie Twój komputer już to za Ciebie zrobił — i możesz spać spokojnie, mając świadomość, że w przyszłym tygodniu pojawi się nowy koszmar związany z cyberbezpieczeństwem.

×