תיקוני אוקטובר של מיקרוסופט כוללים פתרונות ל-103 פגמים

כמו בכל יום ג' השני של כל חודש, מיקרוסופט שחררה שורה של עדכונים עבור מוצריה השונים והמגוונים, ממערכות ההפעלה שלה ועד מוצריה התוכנה הפרטניים יותר, מליבת המערכת ועד פרוטוקולים שונים.

רשימת תיקוני הבעיות הפעם כוללת לא פחות מ-103 תקלות שונות, ומעבר לכך עוד 18 תקלות הוטלאו בעדכון של הדפדפן של החברה, רובן המכריע במנוע Chromium, המבוסס על קוד פתוח.

מבין 103 התיקונים השונים, הגדירה מיקרוסופט 13 כקריטיים ו-90 כחשובים, אבל שניים מבין הקריטיים הינם קריטיים במיוחד – מכיוון שהם מתקנים פרצות שכבר מנוצלות בפועל, כפגיעויות יום אפס.

הראשונה מסומנת כ-CVE-2023-36563 והיא קשורה לחשיפת מידע לקויה בתוכנת הכתבן של מיקרוסופט, שכזכור אמורה בקרוב להיעלם ממערכת ההפעלה. "כדי לנצל את הפגיעות הזו, התוקף יצטרך קודם כל להיכנס למערכת. לאחר מכן הוא יוכל להריץ יישום בעל מבנה מיוחד, שיכול לנצל את הפגיעות ולהשתלט על המערכת המושפעת. בנוסף, תוקף יכול לשכנע משתמש מקומי לפתוח קובץ זדוני, ולשכנע את המשתמש ללחוץ על קישור, בדרך כלל ולאחר מכן לשכנע אותו לפתוח את הקובץ המעוצב המיוחד, הסבירה מיקרוסופט.

הפגיעות השנייה שנוצלה סומנה כ-CVE-2023-41763, והיא מאפשרת לתוקף לקדם את רמת ההרשאות שלו בסקייפ לעסקים, כך שהוא יוכל לקבל חשיפה למידע שמגודר כרגיש, כמו כתובות IP ו/או מספרי יציאות, ויוכל לקבל גישה ישירה לרשתות הפנימיות של הארגון.

מעבר לכך הכריזה החברה כי מערכת כתיבת התרחישים המבוססת על ויז'ואל בייסיק, כלומר VBScript, בדרך יציאה לפנסיה. מדובר במערכת שנוצלה לעיתים קרובות מדי להפצת רושעות, והיא תעבור בעדכונים הבאים של מערכת ההפעלה למצב של תכונה, שתהיה זמינה להתקנה עבור מי שרוצה בכך, עד שהיא תוסר לחלוטין.