Вторник патчей, июнь 2024: Microsoft исправила 51 уязвимость безопасности, в том числе 18 уязвимостей удаленного выполнения кода

2024-06-11 3837 комментарии
В рамках «Вторника Патчей», 11 июня 2024 года, компания Microsoft выпустила исправления против 51 проблемы безопасности, включая 18 уязвимостей удаленного выполнения кода и одну публично раскрытую уязвимость «нулевого дня»

Только одна из исправленных уязвимостей является уязвимостью «нулевого дня»  — это уязвимость удаленного выполнения кода в Microsoft Message Queuing (MSMQ).

Классификация уязвимостей по типу:

  • 25 уязвимостей повышения привилегий
  • 18 уязвимостей удаленного выполнения кода
  • 3 уязвимости раскрытия информации
  • 5 уязвимостей отказа в обслуживании

В общее количество исправленных проблем не входят 7 уязвимостей Microsoft Edge, исправленных 3 июня.

Для установки доступны следующие обновления:

Windows

Windows Server

Исправлена публично раскрытая уязвимость

В этот «Вторник Патчей» исправлена только одна публично раскрытая уязвимость, которая не использовалась в реальных атаках.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Microsoft устранила уязвимость нулевого дня, известная как «Keytrap», в протоколе DNS. Уязвимость получила идентификатор CVE-2023-50868.

CVE-2023-50868: отказ в обслуживании при вычислении хэшей в записях NSEC3

В бюллетени безопасности сообщается:

CVE-2023-50868 касается уязвимости в проверке DNSSEC, где злоумышленник может использовать стандартные протоколы DNSSEC для исчерпания ресурсов на резолвере, вызывая отказ в обслуживании.

Эта уязвимость была ранее раскрыта в феврале и исправлена в различных реализациях DNS, включая BIND, PowerDNS, Unbound, Knot Resolver и Dnsmasq.

Другие интересные уязвимости, исправленные в этом месяце, включают множественные уязвимости удаленного выполнения кода в Microsoft Office, включая Microsoft Outlook RCE. Они могут быть проэксплуатированы из окна предварительного просмотра.

Microsoft также исправила семь уязвимостей повышения привилегий в ядре Windows, которые могли бы позволить локальному злоумышленнику получить привилегии SYSTEM.

Обновления от других компаний

  • Компания Apple исправила 21 уязвимость в релизе visionOS 1.2.
  • Компания ARM устранила активно эксплуатируемую ошибку в драйверах ядра Mali GPU.
  • Компания Cisco выпустила обновления безопасности для Cisco Finesse и Webex.
  • Компания Cox устранила ошибку обхода аутентификации API, которая затрагивала миллионы модемов.
  • Компания F5 выпустила обновления безопасности для двух серьезных уязвимостей API в BIG-IP Next Central Manager.
  • PHP исправила критическую уязвимость удаленного выполнения кода, активно используемую в атаках с программами-вымогателями.
  • Компания TikTok исправила уязвимость нулевого дня в функции прямых сообщений.
  • Компания VMware устранила три уязвимости нулевого дня, проэксплуатированные на Pwn2Own 2024.
  • Компания Zyxel выпустила экстренное исправление уязвимости удаленного выполнения кода для устаревших NAS-устройств.
  • Организация Mozilla выпустила Firefox 127 с улучшениями безопасности и приватности.
  • Huawei выпустила обновления безопасности Huawei EMUI для EMUI 14.0.0, EMUI 13.0.0 и EMUI 12.0.0 за июнь 2024 года.
© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте