Microsoft heeft 50 beveiligingsoplossingen voor software uitgebracht om kritieke en belangrijke problemen op te lossen, waaronder zes zero-days die actief worden misbruikt in het wild.
In de laatste reeks patches van de Redmond-gigant, die meestal op de tweede dinsdag van elke maand wordt uitgebracht in wat bekend staat als Patch Tuesday, heeft Microsoft problemen opgelost, waaronder bugs voor de uitvoering van externe code (RCE), denial-of-service-problemen, escalatie van bevoegdheden en geheugen corruptie problemen.
In totaal, als het gaat om de ernst, worden vijf van de kwetsbaarheden als kritiek beschouwd en 45 als belangrijk.
Producten waarop de beveiligingsupdate van juni betrekking heeft, zijn onder meer Microsoft Office, .NET Core & Visual Studio, de Edge-browser, Windows Cryptographic Services, SharePoint, Outlook en Excel.
Ook:
Microsoft hernoemt WVD tot 'Azure Virtual Desktop'; voegt nieuwe prijsoptie voor app-streaming toe
Microsoft onthult op 24 juni wat de toekomst biedt voor Windows
De zero-day-kwetsbaarheden waarvan Microsoft heeft vastgesteld dat ze actief worden uitgebuit, nu gepatcht in deze update, zijn:
CVE-2021-33742: Beveiligingslek met betrekking tot het uitvoeren van externe code in Windows MSHTML-platform, CVSS 7.5CVE-2021-33739: Beveiligingslek met betrekking tot misbruik van bevoegdheden van Microsoft DWM Core Library, CVSS 8.4CVE-2021-31199: Verbeterd beveiligingslek met betrekking tot misbruik van bevoegdheden door Microsoft voor cryptografische providers, CVSS 5.2 CVE-2021-31201: Microsoft Enhanced Cryptographic Provider misbruik van bevoegdheden, CVSS 5.2CVE-2021-31955: Windows Kernel Information Disclosure, CVSS 5.5CVE-2021-31956: Windows NTFS misbruik van bevoegdheden, CVSS 7.8
Nog een zero-day gerapporteerd door Microsoft, maar niet actief gebruikt in het wild, is CVE-2021-31968. Deze fout, die nu is gepatcht, heeft een CVSS-score van 7,5 gekregen en kan worden misbruikt om denial-of-service te activeren.
Acht van de kwetsbaarheden zijn gemeld door het Zero Day Initiative (ZDI). Microsoft heeft ook rapporten erkend van Google's Threat Analysis Group, Google Project Zero, Nixu Cybersecurity, Check Point Research, FireEye, Kaspersky en anderen.
“Hoewel deze kwetsbaarheden in het wild al als zero-days zijn uitgebuit, is het nog steeds van vitaal belang dat organisaties deze patches zo snel mogelijk toepassen. Niet-gepatchte fouten blijven een probleem voor veel organisaties maanden nadat patches zijn uitgebracht vrijgelaten,” merkte Tenable op.
Vorige maand loste Microsoft 55 beveiligingsfouten op, waarvan er vier als kritiek werden beschouwd in de reeks beveiligingsoplossingen van mei. Drie zero-day-kwetsbaarheden werden tegelijkertijd gepatcht, maar gelukkig lijkt er geen in het wild te zijn uitgebuit.
Een maand eerder pakte de techgigant 114 kwetsbaarheden aan tijdens Patch Tuesday van april. De Amerikaanse National Security Agency (NSA) werd gecrediteerd voor het melden van twee kwetsbaarheden in de uitvoering van externe code (RCE) (CVE-2021-28480 en CVE-2021-28481) in Exchange Server.
Aanbevolen
Apple heeft mijn iCloud-account vier dagen afgesloten, geen waarschuwing, geen uitleg, geen excuus WWDC 2021: alles nieuw in iOS 15 De 10 beste Microsoft zakelijke apps voor uw iPhone en iPad De beste VPN-services: veilig en snel is niet gratis
Verwante onderwerpen:
Microsoft Security TV Data Management CXO Datacenters 