Microsoft ha chiuso il 2023 con un leggero carico di lavoro “Patch Tuesday”: su 47 patch, solo due avevano un punteggio CVSS (Common Vulnerability Scoring System) maggiore di 9.
Solo una delle vulnerabilità è stata precedentemente rivelata e nessuna è stata effettivamente sfruttata.
La prima debolezza critica, CVE-2023-36019ha un punteggio CVSS di 9,6.
Si tratta di una vulnerabilità di spoofing che influisce sull’implementazione di OAuth 2.0 nei connettori Power Platform di Microsoft.
Il bug è stato risolto aggiornando l’URI per ciascun connettore, secondo Istruzioni mostrate qui.
La seconda vulnerabilità critica CVE-2023-35618Ha inoltre ricevuto un punteggio CVSS di 9,6.
È una fuga dalla sandbox di Chromium in Edge, che porta a un’escalation di privilegi.
“In uno scenario di attacco web, un utente malintenzionato potrebbe ospitare un sito Web (o sfruttare un sito Web compromesso che accetta o ospita contenuti generati dagli utenti) che contiene un file appositamente predisposto progettato per sfruttare la vulnerabilità”, si legge nell’avvertimento di Microsoft.
L’aggressore deve “convincere l’utente a fare clic su un collegamento, solitamente tramite l’esca in un’e-mail o in un messaggio di messaggistica istantanea, e quindi convincere l’utente ad aprire il file appositamente predisposto”.
A causa del complesso scenario dell’attacco, Microsoft ha descritto la vulnerabilità come “moderata” nonostante il punteggio CVSS.
L’errore precedentemente divulgato è un problema AMD che è stato il primo È stato rivelato in agosto Ha un punteggio CVSS di 5,5.
“Il registro sulle CPU Zen 2 potrebbe non essere scritto correttamente su 0. Ciò potrebbe causare la memorizzazione dei dati di un altro processo e/o thread nel registro YMM, il che potrebbe consentire a un utente malintenzionato di accedere potenzialmente a informazioni sensibili”, spiega il rapporto AMD. .
“Pluripremiato specialista televisivo. Appassionato di zombi. Impossibile scrivere con i guantoni da boxe. Pioniere di Bacon.”
More Stories
Akuma potrebbe essere migliore che mai in Street Fighter 6
Google svela il “futuro dell’intelligenza artificiale” al suo evento I/O
Non esiste un motore V12 per la nuova Aston Martin Vantage