Microsoft выпустила в общей сложности 50 заплаток, устраняющих опасные и даже критические уязвимости. Особо стоит выделить шесть брешей нулевого дня (0-day), которые в настоящее время эксплуатируются в реальных кибератаках.
Как вы уже поняли, речь идёт об очередном ежемесячном наборе патчей от техногиганта из Редмонда. В июне разработчики разобрались с проблемами удалённого выполнения кода, повышения прав, повреждения памяти и DoS.
Пять из устраненных уязвимостей получили статус критических, ещё 45 — высокую степень опасности. Среди затронутых продуктов оказались Microsoft Office, .NET Core & Visual Studio, браузер Edge, криптографические службы Windows, SharePoint, Outlook и Excel.
Microsoft привела список 0-day уязвимостей, которые на сегодняшний день используются в атаках киберпреступников:
- CVE-2021-33742 — возможность удалённого выполнения кода в платформе Windows MSHTML, CVSS — 7,5 баллов.
- CVE-2021-33739 — повышение прав в библиотеке Microsoft DWM, CVSS — 8,4 баллов.
- CVE-2021-31199 — повышение прав в Microsoft Enhanced Cryptographic Provider, CVSS — 5,2 баллов.
- CVE-2021-31201 — аналогичное повышение привилегий в Microsoft Enhanced Cryptographic Provider, CVSS — 5,2 баллов.
- CVE-2021-31955 — раскрытие информации в ядре Windows, CVSS — 5,5 баллов.
- CVE-2021-31956 — опыление прав в Windows NTFS, CVSS — 7,8 баллов.
Ещё одна 0-day получила идентификатор CVE-2021-31968, но при этом пока нет информации об её эксплуатации.
