Microsoft, юни 2021 г., кръпка във вторник: 50 уязвимости са коригирани, шест нулеви дни, използвани в природата

Microsoft пусна 50 корекции за сигурност на софтуера за разрешаване на критични и важни проблеми, включително шест нулеви дни, които се използват активно в дивата природа.

В най-новия гигант на Редмънд кръг от кръпки, който обикновено се издава на втория вторник на всеки месец в така нареченият Patch Tuesday, Microsoft е отстранил проблеми, включително грешки при дистанционно изпълнение на код (RCE), проблеми с отказ на услуга, повишаване на привилегиите и проблеми с корупцията на паметта.

Като цяло, що се отнася до сериозността, пет от уязвимостите се считат за критични, а 45 се считат за важни.

Продуктите, засегнати от актуализацията на защитата през юни, включват Microsoft Office, .NET Core и Visual Studio, браузъра Edge, криптографските услуги на Windows, SharePoint, Outlook и Excel.

Прочетете:

Уязвимостите от нулев ден, които Microsoft проследява като активно експлоатирани, сега закърпени в тази актуализация, са:

  • CVE-2021-33742: Уязвимост за отдалечено изпълнение на код на платформата Windows MSHTML, CVSS 7.5
  • CVE-2021-33739: Основна библиотека на Microsoft DWM Издигане на привилегия уязвимост, CVSS 8.4
  • CVE-2021-31199: Подобрена криптографска услуга на Microsoft за повишаване на привилегията уязвимост, CVSS 5.2
  • CVE-2021-31201: Подобрена криптографска услуга на Microsoft за повишаване на привилегията уязвимост, CVSS 5.2
  • CVE-2021-31955: Уязвимост за разкриване на информация за ядрото на Windows, CVSS 5.5
  • CVE-2021-31956: Windows NTFS Elevation of Privilege уязвимост, CVSS 7.8

Друг нулев ден, за който Microsoft съобщава, но не се използва активно в дивата природа, е CVE-2021-31968. Издаден CVSS резултат от 7,5, този недостатък, който вече е закърпен, може да бъде използван, за да предизвика отказ на услуга.

Осем от уязвимостите бяха докладвани от Инициатива за нулев ден (ZDI). Microsoft също има признати отчети от групата за анализ на заплахите на Google, Google Project Zero, Nixu Cybersecurity, Check Point Research, FireEye, Kaspersky и други.

“Въпреки че тези уязвимости вече са експлоатирани в дивата природа като нулеви дни, все още е жизненоважно организациите да прилагат тези кръпки възможно най-скоро. Неизправените недостатъци остават проблем за много организации месеци след пускането на кръпки”, коментира Tenable.

Миналият месец Microsoft отстрани 55 недостатъка в сигурността, четири от които бяха счетени за критични в майския пакет от корекции на сигурността. Три уязвимости с нулев ден също бяха поправени по едно и също време, но за щастие, изглежда, че нито една не е била експлоатирана в природата.

Месец преди това технологичният гигант се справи с 114 уязвимости по време на априлския кръпка във вторник. Американската агенция за национална сигурност (NSA) получи кредит за докладване на два недостатъка на уязвимост при дистанционно изпълнение на код (RCE) (CVE-2021-28480 и CVE-2021-28481) в Exchange Server.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com