Вторник Патчей, июль 2021 года: Microsoft исправила 117 уязвимостей, включая Pwn2Own Exchange Server

2021-07-13 3306 комментарии
Во «Вторник Патчей» (Patch Tuesday) 13 июля 2021 года компания Microsoft выпустила 117 исправлений безопасности в своих продуктах, включая уязвимость удаленного исполнения кода в Exchange Server, обнаруженная на хакерском состязании Pwn2Own

Microsoft традиционно выпускает обновления безопасности во второй вторник месяца. На этот раз среди исправленных проблем безопасности есть уязвимости удаленного исполнения кода, повышения привилегий, повреждения памяти, раскрытия информации и уязвимости, применяемые в спуфинг-атаках.

Редмонд подготовил обновления безопасности для многих своих продуктов, включая Microsoft Office, SharePoint, Excel, Microsoft Exchange Server, Защитника Windows, ядра Windows и Windows SMB

Среди исправленных проблем безопасности числятся следующие уязвимости:

  • CVE-2021-31206: уязвимость удаленного выполнения кода на сервере Microsoft Exchange, обнаруженная во время соревнования хакеров Pwn2Own.
  • CVE-2021-34448: активно эксплуатируемая уязвимость, связанная с повреждением памяти механизма сценариев, требующая от жертвы активного посещения вредоносного веб-сайта или нажатия вредоносной ссылки.
  • CVE-2021-34494: уязвимость удаленного выполнения кода DNS-сервера Windows.
  • CVE-2021-34458: уязвимость удаленного выполнения кода в ядре Windows, которая позволяет одному устройству виртуализации ввода-вывода с единым корнем (SR-IOV), назначенному гостю, вмешиваться в работу партнеров PCIe.

Новейшие обновления безопасности выпускаются всего через неделю после того, как Microsoft выпустила экстренное исправление уязвимости PrintNightmare, отслеживаемой по идентификаторам CVE-2021-1675 и CVE-2021-34527. Данная уязвимость удаленного выполнения кода и локального повышения привилегий эксплуатировалась в атаках.

Компания отмечает, что в общей сложности четыре уязвимости – CVE-2021-34527 (PrintNightmare), CVE-2021-34448, CVE-2021-31979 и CVE-2021-33771 – применялись в реальных атаках.

Microsoft благодарит исследователей из Google Security, Checkmarx, Trend Micro Zero Day Initiative, Fortinet FortiGuard Lab и других организаций за информирование о проблемах безопасности. Центр Microsoft Threat Intelligence (MSTIC) также сообщил о ряде уязвимостей.

Zero Day Initiative сообщает, что в этом месяце «исправлено в два раза больше уязвимостей, чем за последние два месяца, что соответствует уровню 2020 года».

В июне Microsoft устранила только 50 уязвимостей, среди которых, впрочем, было семь уязвимостей «нулевого дня». В мае компания исправила 55 проблем безопасности, в том числе 4 критические уязвимости и 3 уязвимости «нулевого дня».

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?