Microsoft публикува юнският Patch Tuesday
Microsoft издаде постоянните месечни обновления по сигурност за Windows и обвързваните със системата артикули. Общо 51 са адресираните проблеми в юнския Patch Tuesday. Едва една е сериозната накърнимост тук, а една е била обществено разкрита, само че не е експлоатирана.
Единствената сериозна накърнимост в пакета се явява CVE-2024-30080. Става дума за проблем в Microsoft Message Queuing (MSMQ) протокола. Успешната употреба на CVE-2024-30080 включва изпращането от атакуващата страна на особено направен пакет към MSMQ сървъра. Поради мрежовия вектор на офанзивата, ниската трудност на осъществяване на офанзивата неналичието на специфични привилегии за осъществяване на офанзивата, CVE-2024-30080 получава и висок рейтинг на критичността.
Интересна накърнимост се явява CVE-2023-50868. Наличието на казуса е предадено от група учени от немския Национален проучвателен център по киберсигурност ATHENE през януари. Тя визира DNSSEC NSEC3 и опцията за изтощение на CPU ресурсите и отвод на достъп до услуга за потребителя. Уязвимостта към този момент е покрита в набор от DNS имплементации, сред които BIND, PowerDNS, Unbound, Knot Resolver и Dnsmasq. Проблемът визира процеса на DNSSEC валидация. Тя разрешава на атакуващата страна да експлоатира общоприетите DNSSEC протоколи, служещи за DNS интегритет.
Публикувани са също по този начин и решения за проблеми в Office, ядрото на системата, Winlogon и Windows Storage, Visual Studio, Microsoft Dynamics. Отделно от това са пуснати и пет кръпки за браузъра.
