Вторник патчей, июнь 2024: Microsoft исправила 51 уязвимость безопасности, в том числе 18 уязвимостей удаленного выполнения кода

Только одна из исправленных уязвимостей является уязвимостью «нулевого дня»  — это уязвимость удаленного выполнения кода в Microsoft Message Queuing (MSMQ).

Классификация уязвимостей по типу:

• 25 уязвимостей повышения привилегий
• 18 уязвимостей удаленного выполнения кода
• 3 уязвимости раскрытия информации
• 5 уязвимостей отказа в обслуживании

В общее количество исправленных проблем не входят 7 уязвимостей Microsoft Edge, исправленных 3 июня.

Для установки доступны следующие обновления:

Windows

• Обновление KB5039239 (Build 26100.863) для Windows 11, версия 24H2
• Обновление KB5039212 (Build 22631.3737) для Windows 11, версия 23H2
• Обновление KB5039211 (Build 19045.4529) для Windows 10, версия 22H2
• Обновление KB5039212 (Build 22621.3737) для Windows 11, версия 22H2
• Обновление KB5039213 (Build 22000.3019) для Windows 11, версия 21H2
• Обновление KB5039211 (Build 19044.4529) для Windows 10 LTSC 2021 (версия 21H2)
• Обновление KB5039217 (Build 17763.5936) для Windows 10 LTSC 2019 (версия 1809)
• Обновление KB5039214 (Build 14393.7070) для Windows 10 LTSC 2016 (версия 1607)

Windows Server

• Обновление KB5039239 (Build 26100.863) для Windows Server 2025
• Обновление KB5039236 (Build 25398.950) для Windows Server, версия 23H2
• Обновление KB5039227 (Build 20348.2527) для Windows Server 2022
• Обновление KB5039217 (Build 17763.5936) для Windows Server 2019
• Обновление KB5039214 (Build 14393.7070) для Windows Server 2016.

Исправлена публично раскрытая уязвимость

В этот «Вторник Патчей» исправлена только одна публично раскрытая уязвимость, которая не использовалась в реальных атаках.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Microsoft устранила уязвимость нулевого дня, известная как «Keytrap», в протоколе DNS. Уязвимость получила идентификатор CVE-2023-50868.

CVE-2023-50868: отказ в обслуживании при вычислении хэшей в записях NSEC3

В бюллетени безопасности сообщается:

CVE-2023-50868 касается уязвимости в проверке DNSSEC, где злоумышленник может использовать стандартные протоколы DNSSEC для исчерпания ресурсов на резолвере, вызывая отказ в обслуживании.

Эта уязвимость была ранее раскрыта в феврале и исправлена в различных реализациях DNS, включая BIND, PowerDNS, Unbound, Knot Resolver и Dnsmasq.

Другие интересные уязвимости, исправленные в этом месяце, включают множественные уязвимости удаленного выполнения кода в Microsoft Office, включая Microsoft Outlook RCE. Они могут быть проэксплуатированы из окна предварительного просмотра.

Microsoft также исправила семь уязвимостей повышения привилегий в ядре Windows, которые могли бы позволить локальному злоумышленнику получить привилегии SYSTEM.

Обновления от других компаний

• Компания Apple исправила 21 уязвимость в релизе visionOS 1.2.
• Компания ARM устранила активно эксплуатируемую ошибку в драйверах ядра Mali GPU.
• Компания Cisco выпустила обновления безопасности для Cisco Finesse и Webex.
• Компания Cox устранила ошибку обхода аутентификации API, которая затрагивала миллионы модемов.
• Компания F5 выпустила обновления безопасности для двух серьезных уязвимостей API в BIG-IP Next Central Manager.
• PHP исправила критическую уязвимость удаленного выполнения кода, активно используемую в атаках с программами-вымогателями.
• Компания TikTok исправила уязвимость нулевого дня в функции прямых сообщений.
• Компания VMware устранила три уязвимости нулевого дня, проэксплуатированные на Pwn2Own 2024.
• Компания Zyxel выпустила экстренное исправление уязвимости удаленного выполнения кода для устаревших NAS-устройств.
• Организация Mozilla выпустила Firefox 127 с улучшениями безопасности и приватности.
• Huawei выпустила обновления безопасности Huawei EMUI для EMUI 14.0.0, EMUI 13.0.0 и EMUI 12.0.0 за июнь 2024 года.