Microsoft rilascia 47 patch nell’aggiornamento di dicembre – Sicurezza

Microsoft ha chiuso il 2023 con un leggero carico di lavoro “Patch Tuesday”: su 47 patch, solo due avevano un punteggio CVSS (Common Vulnerability Scoring System) maggiore di 9.

Solo una delle vulnerabilità è stata precedentemente rivelata e nessuna è stata effettivamente sfruttata.

La prima debolezza critica, CVE-2023-36019ha un punteggio CVSS di 9,6.

Si tratta di una vulnerabilità di spoofing che influisce sull’implementazione di OAuth 2.0 nei connettori Power Platform di Microsoft.

Il bug è stato risolto aggiornando l’URI per ciascun connettore, secondo Istruzioni mostrate qui.

La seconda vulnerabilità critica CVE-2023-35618Ha inoltre ricevuto un punteggio CVSS di 9,6.
È una fuga dalla sandbox di Chromium in Edge, che porta a un’escalation di privilegi.

“In uno scenario di attacco web, un utente malintenzionato potrebbe ospitare un sito Web (o sfruttare un sito Web compromesso che accetta o ospita contenuti generati dagli utenti) che contiene un file appositamente predisposto progettato per sfruttare la vulnerabilità”, si legge nell’avvertimento di Microsoft.

L’aggressore deve “convincere l’utente a fare clic su un collegamento, solitamente tramite l’esca in un’e-mail o in un messaggio di messaggistica istantanea, e quindi convincere l’utente ad aprire il file appositamente predisposto”.

A causa del complesso scenario dell’attacco, Microsoft ha descritto la vulnerabilità come “moderata” nonostante il punteggio CVSS.

L’errore precedentemente divulgato è un problema AMD che è stato il primo È stato rivelato in agosto Ha un punteggio CVSS di 5,5.

“Il registro sulle CPU Zen 2 potrebbe non essere scritto correttamente su 0. Ciò potrebbe causare la memorizzazione dei dati di un altro processo e/o thread nel registro YMM, il che potrebbe consentire a un utente malintenzionato di accedere potenzialmente a informazioni sensibili”, spiega il rapporto AMD. .