Microsoft выпустила обновление безопасности 2025-11-12 в рамках Patch Tuesday, устранив 63 уязвимости в своем программном обеспечении. Четыре из этих уязвимостей оценены как критические, а 59 — как важные.
Детали критических уязвимостей
Среди выявленных уязвимостей, одна из них активно эксплуатируется. Это уязвимость нулевого дня, связанная с повышением привилегий в ядре Windows, имеющая балл CVSS 7.0. Проблема заключается в гонке процессов, что позволяет авторизованному атакующему эскалировать права. Уязвимость была обнаружена MSTIC и MSRC.
По словам Бена Маккарти из Immersive, специально созданное приложение может вызвать двойное освобождение памяти в ядре, что способствует захвату контроля над выполнением программы. Это может использоваться для эскалации привилегий после первоначального доступа к системе с помощью социальной инженерии или уязвимостей RCE.
Обновление безопасности Microsoft: шаг за шагом
Другие исправленные уязвимости
В рамках обновления исправлена критическая переполнение буфера в графическом компоненте Microsoft (CVSS 9.8), которая могла привести к удаленному выполнению кода. Также адресованы проблемы в браузере Edge на базе Chromium.
Ряду поставщиков и дистрибутивов Linux, а также Mozilla недавно выпустили аналогичные обновления безопасности. Это создаст дополнительное давление на пользователей, у которых еще не установлены обновления.
