Меню
Поиск

Июньские обновления безопасности Microsoft закрыли 50 уязвимостей

10 июнь, 2021 - 12:25

Июньские обновления безопасности Microsoft закрыли 50 уязвимостей

(увеличить по клику)

Компания Microsoft выпустила плановые обновления безопасности, закрывающие 50 уязвимостей – 5 уязвимостей были классифицированы как «Критические». Среди закрытых уязвимостей 2 были обнародованы публично, а эксплуатация сразу 6 уязвимостей была зафиксирована в реальных атаках (0-day).

Почти 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования*, поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно.

Отмечается, что на следующие уязвимости и обновления безопасности следует обратить особое внимание:

Повышение привилегий CVE-2021-31199 в компонентах Microsoft Enhanced Cryptographic Provider, которой подвержены все поддерживаемые версии Windows и Windows Server. Рейтинг CVSS 5.2.

Раскрытие информации CVE-2021-31955 в компонентах ядра Windows Kernel. Данная уязвимость затрагивает последние версии Windows 10 и Windows Server 20H2, 2004, 1909. Рейтинг CVSS 5.5.

Повышения привилегий CVE-2021-31956 в компонентах файловой системы NTFS. Уязвимости подвержены все поддерживаемые версии Windows 10. Рейтинг CVSS 7.8.

Повышения привилегий CVE-2021-33739 в компонентах Desktop Windows Manager. Это единственная эксплуатируемая уязвимость, информация о которой была обнародована публично. Она затрагивает все поддерживаемые версии Windows 10 и Windows Server 2019. Рейтинг CVSS 8.4.

Критическая уязвимость удаленного исполнения кода CVE-2021-33742 в компонентах Windows MSHTML Platform. Данной уязвимости подвержены все поддерживаемые ОС Windows и Windows Server. Рейтинг CVSS 7.5.

Помимо этого, была закрыта важная уязвимость обхода функций безопасности CVE-2021-31962 в компонентах Kerberos AppContainer. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 9.4, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Также была исправлена важная уязвимость обхода функций безопасности CVE-2021-26414 в компонентах Windows DCOM. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 4.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Выпущенное обновление безопасности для встроенных браузеров закрывает критическую уязвимость удаленного исполнения кода CVE-2021-31959 в компонентах Scripting Engine. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 6.4, а согласно индексу эксплуатации у атак с использованием данной уязвимости высокий уровень вероятности.

Устранена важная уязвимость удаленного исполнения кода CVE-2021-31939 в приложении Microsoft Excel. Данной уязвимости подвержены Microsoft Office 2016-2019, Microsoft Excel 2013–2016, Microsoft 365 Apps for Enterprise, Microsoft Office Online Server, Microsoft Office Web Apps Server 2013. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Ещё одна важная уязвимость удаленного исполнения кода CVE-2021-31941 в компонентах Microsoft Office Graphics. Данной уязвимости подвержены Microsoft Office 2013, 2016, 2019, Microsoft 365 Apps for Enterprise, Microsoft Office 2019 for Mac. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Замыкает список июньского выпуска критическая уязвимость удаленного исполнения кода CVE-2021-31963 в компонентах Microsoft SharePoint Server. Данная уязвимость затрагивает версии SharePoint Server 2019, 2016, 2013. Рейтинг CVSS составил 7.1, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску апдейта.

Также Miсrosoft напомнила, что в марте закончилась поддержка старой версии браузера Microsoft Edge (на движке EdgeHTML). При установке апрельского накопительного пакета старый браузер будет заменен новой версией Microsoft Edge на движке Chromium. Подробности в нашем блоге.

А через год 15 июня 2022 г. прекратится поддержка браузера Internet Explorer 11.

Обновления Servicing Stack Updates (SSU) были выпущены для ОС:

    Windows 10 версии 1809, 1909, 2004, 20H2;
    Windows Server версии 2019, 1909, 2004, 20

А для версий Windows 10 и Windows Server 2004 и 20H2 обновления SSU теперь поставляются в едином накопительном пакете вместе с остальными обновлениями.