Задержка отзыва функций Microsoft и выпуск обновлений Windows 11

Функция отзыва Microsoft, которая позволяет пользователям просматривать прошлые действия в Windows 11, была отложена из-за проблем конфиденциальности и безопасности. Однако развертывание обновления Windows 11 возобновилось после непродолжительного перерыва.

#Патч вторник

Microsoft, Google, Mozilla и Adobe выпустят релизы 9 июля 2024 года, во вторник исправлений. Microsoft разрешила 142 CVE в пяти продуктах, Mozilla разрешила 16 CVE в Firefox, а Adobe разрешила семь CVE в трех обновлениях. Ожидается, что Google Chrome выйдет во вторник обновлений или сразу после него.

Microsoft сообщает о двух известных эксплуатируемых и двух публично раскрытых уязвимостях. Известные эксплуатируемые уязвимости присутствуют как в ОС Windows, так и в одном из двух раскрытий. Другое раскрытие касается .Net и Visual Studio.

Обновления Майкрософт
Microsoft устранила уязвимость подделки в платформе Windows MSHTML (CVE-2024-38112), которая могла позволить злоумышленнику отправить пользователю вредоносный файл для выполнения по сети. Уязвимость затрагивает все версии ОС Windows. Подтверждено, что уязвимость может быть использована в реальных условиях. Серьезность Microsoft оценивается как «Важная» и имеет CVSS 3.1 из 7,5.
Microsoft устранила уязвимость несанкционированного повышения привилегий в Windows Hyper-V (CVE-2024-38080), которая могла позволить злоумышленнику получить СИСТЕМНЫЕ привилегии в уязвимой системе. Уязвимость затрагивает Windows 11 и Server 2022 и широко использовалась. Серьезность Microsoft оценивается как «Важная» и имеет CVSS 3.1 со значением 7,8.
Microsoft устранила уязвимость раскрытия информации в системах Windows 11 на базе ARM64 (CVE-2024-37985), которая могла позволить злоумышленнику просмотреть память кучи из привилегированного процесса. Уязвимость была публично раскрыта, но в рамках этого раскрытия не было предоставлено никаких примеров кода. Серьезность Microsoft оценивается как «Важная» и имеет CVSS 3.1 из 5,9.
Microsoft устранила уязвимость удаленного выполнения кода в .Net и Visual Studio (CVE-2024-35264). Уязвимость затрагивает Visual Studio 2022 и .Net 8.0. Уязвимость была публично раскрыта, но в рамках этого раскрытия не было предоставлено никаких примеров кода. Чтобы воспользоваться уязвимостью, злоумышленнику потребуется выиграть гонку, что усложнит эксплуатацию. Серьезность Microsoft оценивается как «Важная» и имеет CVSS 3.1 из 8.1.
Сторонние обновления
Adobe выпустила обновления для Premiere Pro, InDesign и Bridge, устраняя семь проблем CVE. Во все три обновления включены критические CVE, но Adobe установила для всех приоритет 3.
Выпущены обновления Mozilla Firefox и Firefox ESR. Firefox 128 разрешил 16 CVE, а ESR разрешил пять CVE. Mozilla установила уровень серьезности для Firefox на «Высокий», а для Firefox ESR — на «Умеренный».
Ежеквартальный выпуск CPU Oracle запланирован на 16 июля 2024 года. Ожидайте обновлений для ряда продуктов Oracle, но этот выпуск также запустит эффект домино для всех платформ Java, таких как RedHat OpenJDK, Amazon Corretto, Azul Zulu, Eclipse Adoptium, Adopt OpenJDK и другие.
Приоритеты вторника обновлений
Обновления ОС Windows являются приоритетом в этом месяце. Это устранит как уязвимости нулевого дня (CVE-2024-38112 и CVE-2024-38080), так и одну из двух публично раскрытых уязвимостей (CVE-2024-37985).
Обновления браузера выпускаются часто и устраняют множество уязвимостей, ориентированных на пользователей. Обновления Edge, Firefox и Chrome должны быть постоянным приоритетом для каждой организации. Google выпускает обновления безопасности каждую неделю, а это значит, что Edge обновляется также еженедельно. В среднем Firefox получает два-три обновления в месяц.
В этом месяце на Microsoft SQL Server было 39 уникальных CVE. Хотя обновление не имеет критического уровня и никакие эксплойты или раскрытия информации не затронули SQL Server, это большое количество CVE. Было бы хорошо решить эту проблему в рамках ежемесячного обслуживания.
Будьте готовы обновить Java и другие решения Oracle после выхода ЦП 16 июля.