Корпорация Майкрософт выпустила обновления для системы безопасности, устраняющие 51 ошибку, в рамках выпуска обновлений Patch Tuesday за июнь 2024 года.
Из 51 уязвимости одна оценена как критическая, а 50 - как важные. Это в дополнение к 17 уязвимостям, устраненным в браузере Edge на базе Chromium за последний месяц.
Ни одна из ошибок в системе безопасности не использовалась активно, при этом одна из них указана как общедоступная на момент выпуска.
Это касается рекомендации сторонней компании, отслеживаемой как CVE-2023-50868 (оценка CVSS: 7.5), проблемы с отказом в обслуживании, влияющей на процесс проверки DNSSEC, которая может привести к перегрузке процессора распознавателя, проверяющего DNSSEC.
Об этом сообщили исследователи из Национального исследовательского центра прикладной кибербезопасности (ATHENE) в Дармштадте еще в феврале вместе с KeyTrap (CVE-2023-50387, оценка CVSS: 7.5).
"NSEC3 - это улучшенная версия NSEC (Next Secure), которая обеспечивает аутентифицированное отрицание существования", - говорится в заявлении Тайлера Регули, заместителя директора по исследованиям и разработкам в области безопасности в Fortra. "Доказав, что запись не существует (с доказательствами окружающих записей), вы можете помочь предотвратить отравление кэша DNS для несуществующих доменов".
"Поскольку это уязвимость на уровне протокола, продукты, отличные от Microsoft, подвержены влиянию хорошо известных DNS-серверов, таких как bind, powerdns, dnsmasq и другие, также выпускающих обновления для решения этой проблемы".
Наиболее серьезной из ошибок, исправленных в обновлении этого месяца, является ошибка критического удаленного выполнения кода (RCE) в службе очереди сообщений Microsoft (MSMQ) (CVE-2024-30080, оценка CVSS: 9,8).
"Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется отправить специально созданный вредоносный пакет MSMQ на сервер MSMQ", - заявили в Microsoft. "Это может привести к удаленному выполнению кода на стороне сервера".
Redmond также устранил несколько других ошибок RCE, влияющих на Microsoft Outlook (CVE-2024-30103), драйвер Wi-Fi для Windows (CVE-2024-30078) и многочисленные ошибки повышения привилегий в подсистеме ядра Windows Win32 (CVE-2024-30086), драйвер мини-фильтра Windows Cloud Files (CVE-2024-30085) и Win32k (CVE-2024-30082), среди прочих.
Компания по кибербезопасности Morphisec, обнаружившая CVE-2024-30103, заявила, что уязвимость может быть использована для запуска выполнения кода, не требуя от пользователей нажимать на содержимое электронной почты или взаимодействовать с ней.
"Отсутствие требуемого взаимодействия с пользователем в сочетании с простым характером эксплойта увеличивает вероятность того, что злоумышленники воспользуются этой уязвимостью для первоначального доступа", - сказал исследователь безопасности Майкл Горелик.
"После того, как злоумышленник успешно воспользуется этой уязвимостью, он сможет выполнить произвольный код с теми же правами, что и пользователь, что потенциально приведет к полной компрометации системы".
Из 51 уязвимости одна оценена как критическая, а 50 - как важные. Это в дополнение к 17 уязвимостям, устраненным в браузере Edge на базе Chromium за последний месяц.
Ни одна из ошибок в системе безопасности не использовалась активно, при этом одна из них указана как общедоступная на момент выпуска.
Это касается рекомендации сторонней компании, отслеживаемой как CVE-2023-50868 (оценка CVSS: 7.5), проблемы с отказом в обслуживании, влияющей на процесс проверки DNSSEC, которая может привести к перегрузке процессора распознавателя, проверяющего DNSSEC.
Об этом сообщили исследователи из Национального исследовательского центра прикладной кибербезопасности (ATHENE) в Дармштадте еще в феврале вместе с KeyTrap (CVE-2023-50387, оценка CVSS: 7.5).
"NSEC3 - это улучшенная версия NSEC (Next Secure), которая обеспечивает аутентифицированное отрицание существования", - говорится в заявлении Тайлера Регули, заместителя директора по исследованиям и разработкам в области безопасности в Fortra. "Доказав, что запись не существует (с доказательствами окружающих записей), вы можете помочь предотвратить отравление кэша DNS для несуществующих доменов".
"Поскольку это уязвимость на уровне протокола, продукты, отличные от Microsoft, подвержены влиянию хорошо известных DNS-серверов, таких как bind, powerdns, dnsmasq и другие, также выпускающих обновления для решения этой проблемы".
Наиболее серьезной из ошибок, исправленных в обновлении этого месяца, является ошибка критического удаленного выполнения кода (RCE) в службе очереди сообщений Microsoft (MSMQ) (CVE-2024-30080, оценка CVSS: 9,8).
"Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется отправить специально созданный вредоносный пакет MSMQ на сервер MSMQ", - заявили в Microsoft. "Это может привести к удаленному выполнению кода на стороне сервера".
Redmond также устранил несколько других ошибок RCE, влияющих на Microsoft Outlook (CVE-2024-30103), драйвер Wi-Fi для Windows (CVE-2024-30078) и многочисленные ошибки повышения привилегий в подсистеме ядра Windows Win32 (CVE-2024-30086), драйвер мини-фильтра Windows Cloud Files (CVE-2024-30085) и Win32k (CVE-2024-30082), среди прочих.
Компания по кибербезопасности Morphisec, обнаружившая CVE-2024-30103, заявила, что уязвимость может быть использована для запуска выполнения кода, не требуя от пользователей нажимать на содержимое электронной почты или взаимодействовать с ней.
"Отсутствие требуемого взаимодействия с пользователем в сочетании с простым характером эксплойта увеличивает вероятность того, что злоумышленники воспользуются этой уязвимостью для первоначального доступа", - сказал исследователь безопасности Майкл Горелик.
"После того, как злоумышленник успешно воспользуется этой уязвимостью, он сможет выполнить произвольный код с теми же правами, что и пользователь, что потенциально приведет к полной компрометации системы".
Исправления программного обеспечения от других поставщиков
Помимо Microsoft, за последние несколько недель другими поставщиками были выпущены обновления для системы безопасности, устраняющие несколько уязвимостей, в том числе —- Adobe
- Amazon Web Services
- AMD
- Apple visionOS
- Arm
- ASUS
- Atlassian
- AutomationDirect
- Bosch
- Broadcom (including VMware)
- Cisco
- Citrix
- Cox
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra Tripwire Enterprise
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise
- HP Enterprise Aruba Networks
- IBM
- Ivanti
- Дженкинс
- Juniper Networks
- Lenovo
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat,
- SUSE и Ubuntu
- MediaTek
- Mitsubishi Electric
- Mozilla Firefox и Firefox ESR
- NETGEAR
- NVIDIA
- PHP
- Программное обеспечение для прогресса
- QNAP
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- Sophos
- Synology
- TP-Link
- Trend Micro
- Veeam
- Veritas
- Zoho ManageEngine ServiceDesk Plus
- Zoom, and
- Zyxel
