Af Eskil Sørensen, 14/06/23
Microsoft har sendt opdateringer til håndtering af over 70 sårbarheder i forbindelse med den månedlige patch Tuesday. Opdateringerne retter ifølge Security Week og en række andre medier en ’massiv serie af softwareopdateringer’ Windows-operativsystem og softwarekomponenter.
Af de mest alvorlige sårbarheder findes seks kritiske, der kan udnyttes til afvikling af kode. Ifølge Microsoft er ingen af sårbarhederne blevet offentligt diskuteret eller udnyttet ’in-the-wild’.
Tre af de seks fejl findes i Windows Pragmatic General Multicast (PGM)-protokollen, der bruges til at levere pakker mellem flere netværksmedlemmer. Alle tre PGM-sårbarheder har en CVSS-score på 9,8 og kan udnyttes af en ekstern, uautoriseret angriber til at udføre kode på et berørt system. De tre sårbarheder har id’erne CVE-2023-29363, CVE-2023-32014 og CVE-2023-32015.
Ifølge Zero Day Initiative fra Trend Micro er det tredje måned i træk med kritiske fejl i PGM-protokollen. PGM er ikke aktiveret som standard.
Security Week skriver, at en RCE-fejl i Microsoft Exchange Server også påkalder sig opmærksomhed blandt eksperter. Fejlen har id’et CVE-2023-32021, som ved udnyttelse gør det muligt for angribere at omgå problemer, som tidligere blev udnyttet. Uofficielle kilder betegner sårbarheden til at være ’mellem’. Udnyttelse kræver, at en angriber har en konto på Exchange-serveren. Er det tilfældet, kan udnyttelse føre til afvikling af kode med SYSTEM-rettigheder," forklarede ZDI.
Patch Tuesday indeholder også en rettelse til CVE-2023-3079, som er en ’type confusion’-sårbarhed i Chrome (Chromium).
En liste med alle sårbarheder findes på ZDIs hjemmeside.
Links:
https://www.zerodayinitiative.com/blog/2023/6/13/the-june-2023-security-update-review
https://www.securityweek.com/microsoft-patches-critical-windows-vulns-warn-of-code-execution-risks/
https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2023-patch-tuesday-fixes-78-flaws-38-rce-bugs/
https://www.tripwire.com/state-of-security/vert-threat-alert-june-2023-patch-tuesday-analysis
https://blog.talosintelligence.com/microsoft-patch-tuesday-june-2023/
https://nakedsecurity.sophos.com/2023/06/14/patch-tuesday-fixes-4-critical-rce-bugs-and-a-bunch-of-office-holes/
https://www.helpnetsecurity.com/2023/06/13/june-2023-patch-tuesday/
https://securityaffairs.com/147452/security/microsoft-patch-tuesday-june-2023.html
https://www.securityweek.com/microsoft-patches-critical-windows-vulns-warn-of-code-execution-risks/
https://www.theregister.com/2023/06/13/june_patch_tuesday_vmware_vuln/