A Microsoft lançou correções para seu sistema operacional Windows e outros componentes de software para corrigir as principais falhas de segurança como parte das atualizações do Patch Tuesday de junho de 2023.
Das 73 falhas, seis são classificadas como Críticas, 63 são classificadas como Importantes, duas são classificadas como Moderadas e uma é classificada como Baixa em gravidade. Isso também inclui três problemas que a gigante da tecnologia abordou em seu navegador Edge baseado em Chromium.
Vale a pena notar que a Microsoft também eliminou outras 26 falhas no Edge – todas elas enraizadas no próprio Chromium – desde o lançamento das atualizações do Patch Tuesday de maio. Isso inclui o CVE-2023-3079 , um bug de dia zero que o Google divulgou como sendo explorado ativamente na semana passada.
As atualizações de junho de 2023 também marcam a primeira vez em vários meses que não apresenta nenhuma falha de dia zero em produtos da Microsoft que são conhecidos publicamente ou estão sob ataque ativo no momento do lançamento.
No topo da lista de correções está o CVE-2023-29357 (pontuação CVSS: 9,8), uma falha de escalonamento de privilégios no SharePoint Server que pode ser explorada por um invasor para obter privilégios de administrador.
“Um invasor que obteve acesso a tokens de autenticação JWT falsificados pode usá-los para executar um ataque de rede que ignora a autenticação e permite que eles obtenham acesso aos privilégios de um usuário autenticado”, disse a Microsoft. "O invasor não precisa de privilégios nem o usuário precisa executar nenhuma ação."
Também corrigidos por Redmond estão três bugs críticos de execução remota de código ( CVE-2023-29363 , CVE-2023-32014 e CVE-2023-32015 , pontuações CVSS: 9,8) no Windows Pragmatic General Multicast ( PGM ) que podem ser armados para " obter execução remota de código e tentar acionar código malicioso."
A Microsoft corrigiu anteriormente uma falha semelhante no mesmo componente ( CVE-2023-28250 , pontuação CVSS: 9,8), um protocolo projetado para entregar pacotes entre vários membros da rede de maneira confiável, em abril de 2023.
Também foram resolvidos pela gigante da tecnologia dois bugs de execução remota de código que afetam o Exchange Server ( CVE-2023-28310 e CVE-2023-32031 ) que podem permitir que um invasor autenticado obtenha a execução remota de código nas instalações afetadas.
Patches de software de outros fornecedores#
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo —
- Adobe
- Android
- Braço
- Cisco
- CitrixGenericName
- Dell
- DrupalName
- F5
- Fortinet
- GitLabGenericName
- Google Chrome
- Hitachi Energy
- HP
- IBM
- lenovo
- Distribuições Linux Debian , Oracle Linux , Red Hat , SUSE e Ubuntu
- MediaTek
- Mitsubishi Electric
- Transferência MOVEit
- Mozilla Firefox, Firefox ESR e Thunderbird
- NETGEAR
- qualcomm
- Samsung
- SEIVA
- Schneider Electric
- siemens
- Splunk
- Sinologia
- Trend Micro
- VMware
- WordPress
- Zoom e
- Zyxel
