Только одна из исправленных уязвимостей является уязвимостью «нулевого дня» — это уязвимость удаленного выполнения кода в Microsoft Message Queuing (MSMQ).
Классификация уязвимостей по типу:
25 уязвимостей повышения привилегий
18 уязвимостей удаленного выполнения кода
3 уязвимости раскрытия информации
5 уязвимостей отказа в обслуживании
В общее количество исправленных проблем не входят 7 уязвимостей Microsoft Edge, исправленных 3 июня.
Для установки доступны следующие обновления:
Windows
Обновление KB5039212 (Build 22631.3737) для Windows 11, версия 23H2
Обновление KB5039211 (Build 19045.4529) для Windows 10, версия 22H2
Обновление KB5039212 (Build 22621.3737) для Windows 11, версия 22H2
Обновление KB5039213 (Build 22000.3019) для Windows 11, версия 21H2
Обновление KB5039211 (Build 19044.4529) для Windows 10 LTSC 2021 (версия 21H2)
Обновление KB5039217 (Build 17763.5936) для Windows 10 LTSC 2019 (версия 1809)
Исправлена публично раскрытая уязвимость
В этот «Вторник Патчей» исправлена только одна публично раскрытая уязвимость, которая не использовалась в реальных атаках.
Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.
Microsoft устранила уязвимость нулевого дня, известная как «Keytrap», в протоколе DNS. Уязвимость получила идентификатор CVE-2023-50868.
CVE-2023-50868: отказ в обслуживании при вычислении хэшей в записях NSEC3
В бюллетени безопасности сообщается:CVE-2023-50868 касается уязвимости в проверке DNSSEC, где злоумышленник может использовать стандартные протоколы DNSSEC для исчерпания ресурсов на резолвере, вызывая отказ в обслуживании.
Эта уязвимость была ранее раскрыта в феврале и исправлена в различных реализациях DNS, включая BIND, PowerDNS, Unbound, Knot Resolver и Dnsmasq.
Другие интересные уязвимости, исправленные в этом месяце, включают множественные уязвимости удаленного выполнения кода в Microsoft Office, включая Microsoft Outlook RCE. Они могут быть проэксплуатированы из окна предварительного просмотра.
Microsoft также исправила семь уязвимостей повышения привилегий в ядре Windows, которые могли бы позволить локальному злоумышленнику получить привилегии SYSTEM.
Обновления от других компанийКомпания Apple исправила 21 уязвимость в релизе visionOS 1.2.
Компания ARM устранила активно эксплуатируемую ошибку в драйверах ядра Mali GPU.
Компания Cisco выпустила обновления безопасности для Cisco Finesse и Webex.
Компания Cox устранила ошибку обхода аутентификации API, которая затрагивала миллионы модемов.
Компания F5 выпустила обновления безопасности для двух серьезных уязвимостей API в BIG-IP Next Central Manager.
PHP исправила критическую уязвимость удаленного выполнения кода, активно используемую в атаках с программами-вымогателями.
Компания TikTok исправила уязвимость нулевого дня в функции прямых сообщений.
Компания VMware устранила три уязвимости нулевого дня, проэксплуатированные на Pwn2Own 2024.
Компания Zyxel выпустила экстренное исправление уязвимости удаленного выполнения кода для устаревших NAS-устройств.
Организация Mozilla выпустила Firefox 127 с улучшениями безопасности и приватности.
Huawei выпустила обновления безопасности Huawei EMUI для EMUI 14.0.0, EMUI 13.0.0 и EMUI 12.0.0 за июнь 2024 года.