Вторник патчей, июнь 2023: Microsoft исправила 78 проблем безопасности, в том числе 38 уязвимостей удаленного выполнения кода

2023-06-13 5410 комментарии
Во «Вторник Патчей», 13 июня 2023 года, компания Microsoft выпустила исправления для 78 проблем безопасности, включая 38 уязвимостей удаленного исполнения кода

Только шесть исправленных уязвимостей получили наивысший рейтинг серьезности «Критический», так как способствуют удаленному выполнению кода, отказу в обслуживании или повышению привилегий.

Классификация уязвимостей по типу:

  • 17 уязвимостей повышения привилегий
  • 3 уязвимости обхода функций безопасности
  • 32 уязвимости удаленного выполнения кода
  • 5 уязвимостей раскрытия информации
  • 10 уязвимостей отказа в обслуживании
  • 10 уязвимостей спуфинга
  • 1 уязвимость Chromium в Microsoft Edge

Еще 16 уязвимостей были исправлены в релизе Microsoft Edge 114, который состоялся 2 июня 2023 года.

В этот «Вторник Патчей» не была исправлена ни одна уязвимость нулевого дня или активно эксплуатируемая уязвимость. Администраторы систем Windows могут вздохнуть с облегчением.

Для установки доступны следующие обновления:

Важные исправления

Несмотря на то, что в этот раз уязвимости нулевого дня не были исправлены, некоторые проблемы безопасности заслуживают отдельного упоминания:

  • CVE-2023-29357 — уязвимость повышения привилегий в Microsoft SharePoint Server

Microsoft исправила уязвимость повышения привилегий в Microsoft SharePoint, которая могла позволить злоумышленникам получить привилегии других пользователей, включая администраторов.

В бюллетени безопасности поясняется:

Атакующий, получивший доступ к поддельным токенам аутентификации JWT, мог использовать их для выполнения сетевой атаки, обходящей аутентификацию и позволяющей получить доступ к привилегиям аутентифицированного пользователя.

Microsoft сообщает о случаях эксплуатации, но не раскрывает подробности. Уязвимость была обнаружена исследователем из StarLabs SG.

  • CVE-2023-32031 — Уязвимость удаленного выполнения кода в Microsoft Exchange Server.

Microsoft исправила уязвимость в Microsoft Exchange Server, которая позволяет удаленно выполнять код в аутентифицированном состоянии.

Компания отмечает:

Атакующий, используя данную уязвимость, может нацелиться на учетные записи сервера для произвольного или удаленного выполнения кода. Как аутентифицированный пользователь, атакующий может попытаться вызвать вредоносный код в контексте учетной записи сервера через сетевой вызов.

Microsoft также выпустила множество исправлений уязвимостей для Microsoft Office, позволяющих злоумышленникам использовать вредоносные документы Excel и OneNote для удаленного выполнения кода.

Эти уязвимости отслеживаются по идентификаторам CVE-2023-33133 (Excel), CVE-2023-33133 (Excel), CVE-2023-33137 (Excel), CVE-2023-33140 (OneNote), CVE-2023-33131 (Outlook).

Уязвимости в OneNote и Outlook требуют, чтобы пользователь кликнул на ссылку во вредоносном файле или электронном письме.

Обновления от других компаний

© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте