Только одна из исправленных уязвимостей получила рейтинг серьезности «Критический» — это уязвимость удаленного выполнения кода в Microsoft SharePoint Server.
Классификация уязвимостей по типу:
- 17 уязвимостей повышения привилегий
- 2 уязвимости обхода функций безопасности
- 27 уязвимостей удаленного выполнения кода
- 7 уязвимостей раскрытия информации
- 3 уязвимости отказа в обслуживании
- 4 уязвимости спуфинга
В общее количество исправленных проблем не входят 2 уязвимости Microsoft Edge, исправленных 2 мая, и еще 4 уязвимости Edge, исправленные 10 мая.
Для установки доступны следующие обновления:
Windows
- Обновление KB5037768 (Build 19045.4412) для Windows 10, версия 22H2
- Обновление KB5037771 (Build 22631.3593) для Windows 11, версия 23H2
- Обновление KB5037771 (Build 22621.3593) для Windows 11, версия 22H2
- Обновление KB5037770 (Build 22000.2960) для Windows 11, версия 21H2
- Обновление KB5037768 (Build 19044.4412) для Windows 10 LTSC 2021
- Обновление KB5037765 (Build 17763.5820) для Windows 10 LTSC 2019
- Обновление KB5037763 (Build 14393.6981) для Windows 10 LTSC 2016
Windows Server
- Обновление KB5037781 (Build 25398.887) для Windows Server, версия 23H2
- Обновление KB5037782 (Build 20348.2461) для Windows Server 2022
- Обновление KB5037765 (Build 17763.5820) для Windows Server 2019
- Обновление KB5037763 (Build 14393.6981) для Windows Server 2016
Исправлено три уязвимости нулевого дня
В этот «Вторник Патчей» исправлены две активно эксплуатируемые и одна публично раскрытая уязвимость «нулевого дня».
Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.
Исправлены следующие уязвимости «нулевого дня», которые активно эксплуатировались:
- CVE-2024-30040 — Уязвимость обхода системы безопасности платформы Windows MSHTML
Microsoft устранила активно эксплуатируемую уязвимость обхода средств защиты для OLE, которые были добавлены в Microsoft 365 и Microsoft Office для защиты пользователей от уязвимых управляемых COM/OLE элементов.
В бюллетене безопасности сообщается:
Злоумышленнику необходимо убедить пользователя загрузить злонамеренный файл в уязвимую систему, обычно путем приманки в сообщении электронной почты или мгновенного сообщения, а затем убедить пользователя манипулировать специально созданным файлом, но не обязательно открывать или кликать по вредоносному файлу.
Атакующий без аутентификации, успешно эксплуатирующий эту уязвимость, может получить возможность выполнения кода, убедив пользователя открыть злонамеренный документ, после чего атакующий может выполнить произвольный код в контексте пользователя.
Неизвестно, каким образом уязвимость была использована в атаках или кто ее обнаружил.
- CVE-2024-30051 — Уязвимость повышения привилегий в библиотеке ядра Windows DWM
Microsoft устранила активно эксплуатируемую уязвимость в библиотеке ядра Windows DWM, которая предоставляла привилегии уровня SYSTEM.
В бюллетени безопасности сообщается:
Атакующий, успешно эксплуатирующий эту уязвимость, мог получить привилегии SYSTEM.
Короткий отчет от «Лаборатории Касперского» указывает, что недавние фишинговые атаки с использованием вредоносного ПО Qakbot использовали злонамеренные документы для эксплуатации этой уязвимости и получения привилегий SYSTEM на устройствах Windows.
Microsoft также сообщает, что CVE-2024-30046 была публично раскрыта, но не уточняет, где именно это произошло. Кроме того, Microsoft указывает, что уязвимость отказа в обслуживании в Microsoft Visual Studio, отслеживаемая как CVE-2024-30046, также была публично раскрыта.
Обновления от других компаний
- Компания Adobe выпустила обновления безопасности для After Effects, Photoshop, Commerce, InDesign и других продуктов.
- Компания Apple адаптировала исправление уязвимости «нулевого дня» RTKit для старых устройств и устранила уязвимость в Safari WebKit, которую эксплуатировали на соревновании Pwn2Own.
- Компания Cisco выпустила обновления безопасности для своих продуктов IP-телефонии.
- Компания Citrix призвала администраторов Xencenter вручную исправить уязвимость в Putty, которая может быть использована для кражи приватного SSH-ключа администратора.
- Компания F5 выпустила обновления безопасности для двух уязвимостей высокой степени серьезности в BIG-IP Next Central Manager API.
- Google выпустил экстренное обновление для Google Chrome для устранения шестой по счету уязвимости «нулевого дня» в 2024 году.
- Компания TinyProxy исправила критическую уязвимость удаленного выполнения кода, которая была раскрыта Cisco.
- VMware исправила три уязвимости «нулевого дня», которые эксплуатировались на соревновании Pwn2Own 2024.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5