Update Tuesday: Microsoft выпустила июньские обновления безопасности
Microsoft выпустила плановые обновления безопасности, закрывающие 50 уязвимостей — 5 уязвимостей были классифицированы как «Критические». Среди закрытых уязвимостей 2 были обнародованы публично, а эксплуатация сразу 6 уязвимостей была зафиксирована в реальных атаках (0-day). В данной статье я расскажу о самых главных моментах этого выпуска.
Помните, почти 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования*, поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно.
Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике.
Июньские обновления безопасности исправляют следующие уязвимости, эксплуатация которых была зафиксирована в реальных атаках.
Важная уязвимость повышения привилегий CVE-2021–31199 в компонентах Microsoft Enhanced Cryptographic Provider, которой подвержены все поддерживаемые версии Windows и Windows Server. Рейтинг CVSS составил 5.2.
Важная уязвимость раскрытия информации CVE-2021–31955 в компонентах ядра Windows Kernel. Данная уязвимость затрагивает последние версии Windows 10 и Windows Server 20H2, 2004, 1909. Рейтинг CVSS составил 5.5.
Важная уязвимость повышения привилегий CVE-2021–31956 в компонентах файловой системы NTFS. Уязвимости подвержены все поддерживаемые версии Windows 10. Рейтинг CVSS составил 7.8.
Важная уязвимость повышения привилегий CVE-2021–33739 в компонентах Desktop Window Manager. Это единственная эксплуатируемая уязвимость, информация о которой была обнародована публично. Она затрагивает все поддерживаемые версии Windows 10 и Windows Server 2019. Рейтинг CVSS составил 8.4.
А также критическая уязвимость удаленного исполнения кода CVE-2021–33742 в компонентах Windows MSHTML Platform. Данной уязвимости подвержены все поддерживаемые ОС Windows и Windows Server. Рейтинг CVSS составил 7.5.
Помимо этого, была закрыта важная уязвимость обхода функций безопасности CVE-2021–31962 в компонентах Kerberos AppContainer. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 9.4, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Также была исправлена важная уязвимость обхода функций безопасности CVE-2021–26414 в компонентах Windows DCOM. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 4.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Выпущенное обновление безопасности для встроенных браузеров закрывает критическую уязвимость удаленного исполнения кода CVE-2021–31959 в компонентах Scripting Engine. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 6.4, а согласно индексу эксплуатации у атак с использованием данной уязвимости высокий уровень вероятности.
Устранена важная уязвимость удаленного исполнения кода CVE-2021–31939 в приложении Microsoft Excel. Данной уязвимости подвержены Microsoft Office 2016–2019, Microsoft Excel 2013–2016, Microsoft 365 Apps for Enterprise, Microsoft Office Online Server, Microsoft Office Web Apps Server 2013. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Ещё одна важная уязвимость удаленного исполнения кода CVE-2021–31941 в компонентах Microsoft Office Graphics. Данной уязвимости подвержены Microsoft Office 2013, 2016, 2019, Microsoft 365 Apps for Enterprise, Microsoft Office 2019 for Mac. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Замыкает команду лидеров июньского выпуска критическая уязвимость удаленного исполнения кода CVE-2021–31963 в компонентах Microsoft SharePoint Server. Данная уязвимость затрагивает версии SharePoint Server 2019, 2016, 2013. Рейтинг CVSS составил 7.1, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.
Также хочу напомнить, что в марте закончилась поддержка старой версии браузера Microsoft Edge (на движке EdgeHTML). При установке апрельского накопительного пакета старый браузер будет заменен новой версией Microsoft Edge на движке Chromium. Подробности в нашем блоге.
А через год 15 июня 2022 г. прекратится поддержка браузера Internet Explorer 11. Подробности в нашем блоге.
Обновления Servicing Stack Updates (SSU) были выпущены для ОС:
- Windows 10 версии 1809, 1909, 2004, 20H2;
- Windows Server версии 2019, 1909, 2004, 20
А для версий Windows 10 и Windows Server 2004 и 20H2 обновления SSU теперь поставляются в едином накопительном пакете вместе с остальными обновлениями. О том, как установить сразу и SSU, и обновления безопасности ОС в одном накопительном пакете, автоматически, соблюдая правильную последовательность, читайте в нашем блоге.
Как всегда самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide. Нам очень интересно узнать ваше мнение о новом портале Security Updates Guide, поэтому мы призываем вас поделиться обратной связью о работе портала через эту форму.
Вы также можете посмотреть запись нашего ежемесячного вебинара Брифинг по безопасности с более подробным разбором этого выпуска обновлений безопасности Microsoft.
А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.
Артём Синицын CISSP, CCSP, MCSE, MC: Azure Security Engineer
старший руководитель программ информационной безопасности в странах Центральной и Восточной Европы
Microsoft
Twitter: https://aka.ms/artsin
YouTube: https://aka.ms/artsinvideo
*Vulnerability Review Report by Flexera
Tags: Security, Security Updates, безопасность