Microsoft выпускает обновления для исправления критических недостатков в Windows и другом программном обеспечении

Microsoft выпустила исправления для своей операционной системы Windows и других программных компонентов, чтобы устранить основные недостатки безопасности в рамках Обновления вторника исправлений на июнь 2023 года.

Из 73 недостатков шесть оцениваются как критические, 63 — как важные, два — как умеренные и один — как низкий. Это также включает в себя три проблемы, которые технический гигант решил в своем браузере Edge на основе Chromium.

Стоит отметить, что Microsoft также закрылась 26 других недостатков в Edge — все они основаны на самом Chromium — с момента выпуска майских обновлений во вторник. Это включает CVE-2023-3079ошибка нулевого дня, которая, как сообщил Google, активно использовалась на прошлой неделе.

Обновления за июнь 2023 года также впервые за несколько месяцев не содержат каких-либо недостатков нулевого дня в продуктах Microsoft, которые были широко известны или подвергались активным атакам на момент выпуска.

Возглавляет список исправлений CVE-2023-29357 (оценка CVSS: 9,8), недостаток повышения привилегий в SharePoint Server, который может быть использован злоумышленником для получения прав администратора.

«Злоумышленник, получивший доступ к поддельным токенам аутентификации JWT, может использовать их для выполнения сетевой атаки, которая обходит аутентификацию и позволяет получить доступ к привилегиям аутентифицированного пользователя», — заявили в Microsoft. «Злоумышленнику не нужны привилегии, а пользователю не нужно выполнять какие-либо действия».

Редмонд также исправил три критические ошибки удаленного выполнения кода (CVE-2023-29363, CVE-2023-32014и CVE-2023-32015оценка CVSS: 9,8) в Windows Pragmatic General Multicast (ПГМ), который можно использовать для «удалённого выполнения кода и попытки запуска вредоносного кода».

Ранее Microsoft исправила аналогичную уязвимость в том же компоненте (CVE-2023-28250оценка CVSS: 9,8), протокол, предназначенный для надежной доставки пакетов между несколькими членами сети, в апреле 2023 года.

Технический гигант также устранил две ошибки удаленного выполнения кода, влияющие на Exchange Server (CVE-2023-28310 и CVE-2023-32031), что может позволить злоумышленнику, прошедшему проверку подлинности, удаленно выполнить код на уязвимых установках.

Программные исправления от других поставщиков

Помимо Microsoft, за последние несколько недель обновления безопасности были выпущены другими поставщиками для устранения нескольких уязвимостей, в том числе —