Излезе юнският Patch Tuesday
Microsoft разгласява постоянното издание на Patch Tuesday – сбора със запушени уязвимости за месеца. Пакетът с юнските актуализации е формиран от 70 (над 90 в случай че се броят тези за Edge) ремонти на разнообразни недостатъци. Този месец нямаме актуализации, ориентирани към уязвимости, които към този момент са били експлоатирани, а тези с гриф „ сериозно значими “ са едвам четири.
Една от тях е CVE-2023-29357, пробелм в SharePoint, който разрешава на периферия да придобие администраторски права над сървъра. Оценката на риска (CVSS) на уязвимостта е 9.8 заради това, че за сполучливата употреба не се изисква предприемането на деяние от страна на атакуваната страна, а сложността на самата офанзива се прави оценка като „ ниска “. В описанието на уязвимостта е записано, че атакуващата страна може да употребява подправени JWT токени, с цел да преодолее удостоверяващите механизми и си присвои администраторски привилегии.
Три сериозни уязвимости, обединени в общ бюлетин засягат Windows PGM протокола. И трите (CVE-2023-29363, CVE-2023-32014 и CVE-2023-32015) имат оценка на риска от 9.8 и разрешават отдалеченото осъществяване на случаен код. Експлоатацията им изисква задействана Windows MSMQ услугата, която по дифолт е изключена. CVE-2023-24897 също се явява сериозна накърнимост, която може да разреши осъществяването на случаен код по далечен път. Тя визира.NET,.NET Framework и Visual Studio.
Сред другите наранени артикули и услуги на Windows, които получават актуализации тук са: Windows NTFS, Windows Group Policy, Remote Desktop Client, SysInternals и Windows DHCP Server, Microsoft Windows Codecs Library, Windows Geolocation Service, Windows OLE, Windows Filtering и други
