Июньские обновления безопасности Microsoft закрыли 50 уязвимостей

Компания Microsoft выпустила плановые обновления безопасности, закрывающие 50 уязвимостей – 5 уязвимостей были классифицированы как «Критические». Среди закрытых уязвимостей 2 были обнародованы публично, а эксплуатация сразу 6 уязвимостей была зафиксирована в реальных атаках (0-day).

Почти 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования*, поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно.

Отмечается, что на следующие уязвимости и обновления безопасности следует обратить особое внимание.

Важная уязвимость повышения привилегий CVE-2021-31199 в компонентах Microsoft Enhanced Cryptographic Provider, которой подвержены все поддерживаемые версии Windows и Windows Server. Рейтинг CVSS составил 5.2.

Важная уязвимость раскрытия информации CVE-2021-31955 в компонентах ядра Windows Kernel. Данная уязвимость затрагивает последние версии Windows 10 и Windows Server 20H2, 2004, 1909. Рейтинг CVSS составил 5.5.

Важная уязвимость повышения привилегий CVE-2021-31956 в компонентах файловой системы NTFS. Уязвимости подвержены все поддерживаемые версии Windows 10. Рейтинг CVSS составил 7.8.

Важная уязвимость повышения привилегий CVE-2021-33739 в компонентах Desktop Windows Manager. Это единственная эксплуатируемая уязвимость, информация о которой была обнародована публично. Она затрагивает все поддерживаемые версии Windows 10 и Windows Server 2019. Рейтинг CVSS составил 8.4.

А также критическая уязвимость удаленного исполнения кода CVE-2021-33742 в компонентах Windows MSHTML Platform. Данной уязвимости подвержены все поддерживаемые ОС Windows и Windows Server. Рейтинг CVSS составил 7.5.

Помимо этого, была закрыта важная уязвимость обхода функций безопасности CVE-2021-31962 в компонентах Kerberos AppContainer. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 9.4, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Также была исправлена важная уязвимость обхода функций безопасности CVE-2021-26414 в компонентах Windows DCOM. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 4.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Выпущенное обновление безопасности для встроенных браузеров закрывает критическую уязвимость удаленного исполнения кода CVE-2021-31959 в компонентах Scripting Engine. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 6.4, а согласно индексу эксплуатации у атак с использованием данной уязвимости высокий уровень вероятности.

Устранена важная уязвимость удаленного исполнения кода CVE-2021-31939 в приложении Microsoft Excel. Данной уязвимости подвержены Microsoft Office 2016-2019, Microsoft Excel 2013–2016, Microsoft 365 Apps for Enterprise, Microsoft Office Online Server, Microsoft Office Web Apps Server 2013. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Ещё одна важная уязвимость удаленного исполнения кода CVE-2021-31941 в компонентах Microsoft Office Graphics. Данной уязвимости подвержены Microsoft Office 2013, 2016, 2019, Microsoft 365 Apps for Enterprise, Microsoft Office 2019 for Mac. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Замыкает команду лидеров июньского выпуска критическая уязвимость удаленного исполнения кода CVE-2021-31963 в компонентах Microsoft SharePoint Server. Данная уязвимость затрагивает версии SharePoint Server 2019, 2016, 2013. Рейтинг CVSS составил 7.1, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.