Компания Microsoft опубликовала очередной набор исправлений безопасности в рамках традиционного «по вторникам исправлений» за сентябрь 2025 года. На этот раз в обновление вошли исправления для 81 уязвимости, среди которых присутствуют две нулевые уязвимости и девять критических уязвимостей.
Детальный анализ уязвимостей
В число устранённых критических уязвимостей входят пять, связанных с удалённым выполнением кода, одна уязвимость утечки информации и две уязвимости повышения привилегий. Полный список категорий выглядит следующим образом: повышение привилегий (41 случай), обход функций безопасности (2 случая), удалённое выполнение кода (22 случая), утечка информации (16 случаев), отказ в обслуживании (3 случая) и подмена (1 случай).
Следует отметить, что эти данные касаются только обновлений, выпущенных в день «по вторникам исправлений», и не учитывают несколько исправлений, выпущенных ранее в сентябре для
Подробности по нулевым уязвимостям
Первая из устранённых нулевых уязвимостей касается Windows SMB Server, через которую возможно повышение привилегий при помощи relay-атак. Microsoft сообщает, что SMB Server может быть уязвимым в зависимости от конфигурации и рекомендует включать SMB Server Signing и SMB Server Extended Protection for Authentication (EPA), где это возможно. Также компания предлагает включить аудит для выявления проблем совместимости перед обязательным применением.
Вторая уязвимость с обозначением CVE-2024-21907 связана с уязвимостями обработки исключительных ситуаций в JsonConvert.DeserializeObject, могут вызвать StackOverflow и отказ в обслуживании; обновления для SQL Server включают в себя заплатку для
В этот же день другие крупные компании, такие как
