Microsoft выпустила плановые обновления безопасности, закрывающие 50 уязвимостей, 5 из которых были классифицированы как «Критические». Среди закрытых уязвимостей 2 были обнародованы публично, а эксплуатация сразу 6 уязвимостей была зафиксирована в реальных атаках (0-day). В данной статье я расскажу о самых главных моментах этого выпуска.
Помните, что 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования*, поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно.
Сводная информация по количеству и типу уязвимостей в соответствующих программных продуктах приведена на графике.
На следующие уязвимости и обновления безопасности следует обратить особое внимание.
Июньские обновления безопасности исправляют следующие уязвимости, эксплуатация которых была зафиксирована в реальных атаках.
Важная уязвимость повышения привилегий CVE-2021-31199 в компонентах Microsoft Enhanced Cryptographic Provider, которой подвержены все поддерживаемые версии Windows и Windows Server. Рейтинг CVSS составил 5.2.
Важная уязвимость раскрытия информации CVE-2021-31955 в компонентах ядра Windows Kernel. Данная уязвимость затрагивает последние версии Windows 10 и Windows Server 20H2, 2004, 1909. Рейтинг CVSS составил 5.5.
Важная уязвимость повышения привилегий CVE-2021-31956 в компонентах файловой системы NTFS. Уязвимости подвержены все поддерживаемые версии Windows 10. Рейтинг CVSS составил 7.8.
Важная уязвимость повышения привилегий CVE-2021-33739 в компонентах Desktop Window Manager. Это единственная эксплуатируемая уязвимость, информация о которой была обнародована публично. Она затрагивает все поддерживаемые версии Windows 10 и Windows Server 2019. Рейтинг CVSS составил 8.4.
А также критическая уязвимость удаленного исполнения кода CVE-2021-33742 в компонентах Windows MSHTML Platform. Данной уязвимости подвержены все поддерживаемые ОС Windows и Windows Server. Рейтинг CVSS составил 7.5.
Помимо этого, была закрыта важная уязвимость обхода функций безопасности CVE-2021-31962 в компонентах Kerberos AppContainer. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 9.4, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Также была исправлена важная уязвимость обхода функций безопасности CVE-2021-26414 в компонентах Windows DCOM. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 4.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Выпущенное обновление безопасности для встроенных браузеров закрывает критическую уязвимость удаленного исполнения кода CVE-2021-31959 в компонентах Scripting Engine. Данной уязвимости подвержены все версии Windows и Windows Server. Рейтинг CVSS составил 6.4, а согласно индексу эксплуатации у атак с использованием данной уязвимости высокий уровень вероятности.
Устранена важная уязвимость удаленного исполнения кода CVE-2021-31939 в приложении Microsoft Excel. Данной уязвимости подвержены Microsoft Office 2016-2019, Microsoft Excel 2013–2016, Microsoft 365 Apps for Enterprise, Microsoft Office Online Server, Microsoft Office Web Apps Server 2013. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Ещё одна важная уязвимость удаленного исполнения кода CVE-2021-31941 в компонентах Microsoft Office Graphics. Данной уязвимости подвержены Microsoft Office 2013, 2016, 2019, Microsoft 365 Apps for Enterprise, Microsoft Office 2019 for Mac. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Замыкает команду лидеров июньского выпуска критическая уязвимость удаленного исполнения кода CVE-2021-31963 в компонентах Microsoft SharePoint Server. Данная уязвимость затрагивает версии SharePoint Server 2019, 2016, 2013. Рейтинг CVSS составил 7.1, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.
Также хочу напомнить, что в марте закончилась поддержка старой версии браузера Microsoft Edge (на движке EdgeHTML). При установке апрельского накопительного пакета старый браузер будет заменен новой версией Microsoft Edge на движке Chromium. Подробности в нашем блоге.
А через год 15 июня 2022 г. прекратится поддержка браузера Internet Explorer 11. Подробности в нашем блоге.
Обновления стека обслуживания
Обновления Servicing Stack Updates (SSU) были выпущены для ОС:
Windows 10 версии 1809, 1909, 2004, 20H2;
Windows Server версии 2019, 1909, 2004, 20
А для версий Windows 10 и Windows Server 2004 и 20H2 обновления SSU теперь поставляются в едином накопительном пакете вместе с остальными обновлениями. О том, как установить сразу и SSU, и обновления безопасности ОС в одном накопительном пакете, автоматически, соблюдая правильную последовательность, читайте в нашем блоге.
Дополнительные материалы
Как всегда самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide. Нам очень интересно узнать ваше мнение о новом портале Security Updates Guide, поэтому мы призываем вас поделиться обратной связью о работе портала через эту форму.
Вы также можете посмотреть запись нашего ежемесячного вебинара Брифинг по безопасности с более подробным разбором этого выпуска обновлений безопасности Microsoft.
А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.
Артём Синицын CISSP, CCSP, MCSE, Certified Azure Security Engineer
старший руководитель программ информационной безопасности в странах Центральной и Восточной Европы
Microsoft
Twitter: https://aka.ms/artsin
YouTube: https://aka.ms/artsinvideo
*Vulnerability Review Report by Flexera