Microsoft, Google, Mozilla a Adobe mají vydání 9. července 2024. Microsoft vyřešil 142 CVE v pěti produktech, Mozilla 16 CVE ve Firefoxu a Adobe sedm CVE ve třech aktualizacích.
Microsoft hlásí dvě známé zneužité a dvě veřejně odhalené chyby zabezpečení. Známé zneužité chyby zabezpečení jsou v operačním systému Windows spolu s jedním ze dvou odhalení. Další zveřejnění se týká .Net a Visual Studio.
Aktualizace společnosti Microsoft
- Společnost Microsoft vyřešila chybu zabezpečení v platformě Windows MSHTML Platform (CVE-2024-38112), která by mohla umožnit útočníkovi odeslat uživateli škodlivý soubor, který bude spuštěn v síti. Tato chyba zabezpečení se týká všech verzí operačního systému Windows. Je potvrzeno, že zranitelnost je využívána ve volné přírodě. Závažnost společnosti Microsoft je hodnocena jako důležitá a má CVSS 3.1 z 7.5.
- Společnost Microsoft vyřešila chybu zabezpečení týkající se zvýšení úrovně oprávnění v systému Windows Hyper-V (CVE-2024-38080), která by mohla útočníkovi umožnit získat oprávnění SYSTEM v postiženém systému. Tato chyba zabezpečení se týká Windows 11 a Server 2022 a byla zneužita ve volné přírodě. Závažnost společnosti Microsoft je hodnocena jako důležitá a má CVSS 3.1 z 7.8.
- Společnost Microsoft vyřešila chybu zabezpečení týkající se odhalení informací v systémech Windows 11 ARM64 (CVE-2024-37985), která by mohla útočníkovi umožnit zobrazit haldu paměti z privilegovaného procesu. Chyba zabezpečení byla zveřejněna, ale jako součást tohoto zveřejnění nebyly zpřístupněny žádné ukázky kódu. Závažnost společnosti Microsoft je hodnocena jako důležitá a má CVSS 3.1 z 5.9.
- Společnost Microsoft vyřešila zranitelnost vzdáleného spuštění kódu v .Net a Visual Studio (CVE-2024-35264). Tato chyba zabezpečení se týká sady Visual Studio 2022 a .Net 8.0. Chyba zabezpečení byla zveřejněna, ale jako součást tohoto zveřejnění nebyly zpřístupněny žádné ukázky kódu. Aby bylo možné tuto chybu zabezpečení zneužít, musel by útočník vyhrát soutěžní podmínku, což by zneužívání ztížilo. Závažnost společnosti Microsoft je hodnocena jako důležitá a má CVSS 3.1 z 8.1.
Aktualizace třetích stran
- Společnost Adobe vydala aktualizace pro Premiere Pro, InDesign a Bridge, které řeší sedm CVE. Všechny tři aktualizace obsahují kritická CVE, ale společnost Adobe všem nastavila prioritu 3.
- Byly vydány aktualizace Mozilla Firefox a Firefox ESR. Firefox 128 vyřešil 16 CVE a ESR vyřešil pět CVE. Mozilla nastavila závažnost pro Firefox na Vysoká a Firefox ESR na Střední.
- Quarterly CPU společnosti Oracle je naplánováno na 16. července 2024. Očekávejte aktualizace pro řadu produktů Oracle, ale tato verze také odstartuje dominový efekt na všech frameworkech Java, jako jsou RedHat OpenJDK, Amazon Corretto, Azul Zulu, Eclipse Adoptium, Adopt OpenJDK a ostatní.
Opravte priority
- Tento měsíc jsou prioritou aktualizace operačního systému Windows. To vyřeší jak zranitelnosti zero-day (CVE-2024-38112 a CVE-2024-38080), tak jednu ze dvou veřejně odhalených chyb zabezpečení (CVE-2024-37985).
- Aktualizace prohlížeče se vydávají často a řeší mnoho zranitelností cílených na uživatele. Aktualizace Edge, Firefoxu a Chrome by měly být trvalou prioritou každé organizace. Google vydává bezpečnostní aktualizace každý týden, což znamená, že Edge se aktualizuje také týdně. Firefox dostává v průměru dvě až tři aktualizace měsíčně.
- Microsoft SQL Server měl tento měsíc 39 unikátních CVE. Přestože aktualizace není hodnocena jako kritická a SQL Server neovlivňují žádné exploity ani odhalení, jedná se o velký počet CVE. Bylo by dobré si to nechat vyřešit v rámci měsíční údržby.
Zdroj: Ivanti