Автор: Во вторник, 14 января, компания Microsoft по традиции выпустила большой пакет обновлений безопасности. Он стал самым масштабным за последние несколько лет — в Windows, Office, Edge, других приложениях и службах было устранено 159 уязвимостей, что почти вдвое превышает обычное количество исправлений. По данным Microsoft, три из исправленных уязвимостей уже эксплуатируются «в дикой природе», а ещё пять были публично известны ранее.
Microsoft традиционно не предоставляет много информации об уязвимостях для самостоятельного поиска в руководстве по обновлению безопасности. Известно, что самое большое количество уязвимостей, 132, было исправлено в различных версиях ОС Windows, которые поддерживаются Microsoft (Windows 10, Windows 11 и Windows Server).
По данным Microsoft, три из устранённых уязвимостей безопасности Windows активно эксплуатируются. Более или менее идентичные уязвимости Hyper-V CVE-2025-21333, CVE-2025-21334 и CVE-2025-21335 позволяют зарегистрированным злоумышленникам выполнять из гостевой системы код с повышенными привилегиями. Распространённость использования этих эксплойтов не раскрывается.
Microsoft классифицирует в общей сложности восемь уязвимостей Windows как критические. Уязвимость CVE-2025-21298 в Windows OLE (CVSS 9.8) может быть использована через специально созданное электронное письмо, если это письмо открыто в Outlook. Включённый предварительный просмотр вложенного файла может привести к внедрению и выполнению вредоносного кода.
Уязвимости CVE-2025-21297 и CVE-2025-21309 (CVSS 8.1) в службах удалённых рабочих столов сервера могут быть использованы злоумышленниками для удалённой атаки без входа пользователя в систему.
Microsoft сообщила об устранении 28 схожих уязвимостей RCE (CVSS 8.8) в службе телефонии Windows. Они классифицируются как высокорисковые, но информация об их использовании злоумышленниками отсутствует.
Microsoft также устранила 20 уязвимостей в своих продуктах Office. К ним относятся ряд уязвимостей RCE в Word, Excel, Outlook, OneNote, Visio и SharePoint Server. Три из устранённых уязвимостей RCE в Access считаются уязвимостями нулевого дня.
В пакет обновлений вошло и исправление безопасности для браузера Microsoft Edge — версия 131.0.2903.146 от 10 января на основе Chromium 131.0.6778.265. Однако, какая-либо документация по этому обновлению пока отсутствует. Возможно, что исправления аналогичны сделанным Google в последней версии Chrome, где устранён ряд уязвимостей, классифицированных как высокорисковые.
Microsoft в очередной раз призвала пользователей устаревших, по мнению компании, версий Windows 7 и 8.1 перейти на Windows 10 или Windows 11, чтобы продолжать получать обновления безопасности. Следующий регулярный вторник исправлений намечен на 11 февраля 2025 года.
