Den 13. juni, som en del af vores faste Opdater tirsdagens tidsplan, Microsoft har frigivet sikkerhed opdateringer til alt 96 sikkerhedssårbarheder i sine forskellige Windows-operativsystemer og software, herunder rettelser til to sårbarheder som aktivt er blevet udnyttet i naturen.
Ud af 96 sikkerhedssårbarheder kom 12 % af disse problemer gennem ZDI-programmet (Zero-Day Initiative) på et tidspunkt. I alt 18 af disse problemer er bedømt som Kritiske, 76 er bedømt som Vigtigt, et er bedømt som Moderat, og et er den sjældne lav sværhedsgrad. Nogle af disse fejl blev oprindeligt afsløret under dette års Pwn2Own-konkurrence, men nogle fejl fra konkurrencen mangler stadig at blive rettet. To af disse fejl er under aktivt angreb, mens tre er opført som offentligt kendte.
Hvis du husker, var sidste måned udbredt WannaCry ransomware-angreb, der inficerede næsten 300,000 computere i mere end 150 lande, tvang Microsoft til at udgive sikkerhedsopdateringer mod EternalBlue SMB-udnyttelse for ikke-understøttede versioner af Windows, men virksomheden efterlod tre andre Windows-zero-day exploits, lækket af Skyggemæglere i april, upatchet. Denne måneds patch-udgivelse inkluderer også nødsituationer patches til de tre Windows-hackingudnyttelser.
Juni 2017 Patch Tuesday bringer patches til adskillige fejl ved fjernudførelse af kode i Windows, Office og Edge, som kunne udnyttes eksternt af hackere til at tage fuldstændig kontrol over sårbare maskiner med ringe eller ingen interaktion fra brugeren.
Mens to af sårbarhederne er blevet udnyttet i live-angreb, har yderligere tre mangler offentligt tilgængelige proof-of-concept (POC) udnyttelser, som enhver kunne bruge til at målrette mod Windows-brugere.
De tre ikke-patchede Windows-udnyttelser er kodenavnet som "EsteemAudit," "ExplodingCan," og "Engelsk tandlæge." EsteemAudit er rettet mod RDP-tjenesten (Remote Desktop Protocol) på Microsoft Windows Server 2003- og Windows XP-maskiner, mens ExplodingCan udnytter fejl i IIS 6.0, og EnglishmanDentist udnytter Microsoft Exchange-servere. Ingen af disse udnyttelser virker på understøttet Windows-platform.
Ifølge den seneste Microsoft bdlæg, blev de kritiske nedenstående patches til tre Windows-udnyttelser foranlediget af en "forhøjet risiko for destruktive cyberangreb" af regeringsorganisationer, nogle gange omtalt som "nationalstatsaktører eller andre kopieringsorganisationer."
Sikkerhedsrettelserne til Windows XP, Vista og Server 2003 indeholder rettelser til ovenstående tre end-of--produkter. I modsætning til almindelige Patch Tuesday-udgivelser, der leveres automatisk gennem Windows Update-mekanismen til dine enheder, skal disse programrettelser på et lavere niveau es og installeres manuelt. Disse opdateringer er tilgængelige i Microsoft Center eller i Update Catalog, eller du kan finde links nederst i Security Advisory 4025685.
"Vores beslutning i dag om at frigive disse sikkerhedsopdateringer til platforme, der ikke er i udvidet , bør ikke ses som en afvigelse fra vores standardservicepolitikker. Baseret på en vurdering af det aktuelle trusselslandskab fra vores sikkerhedsingeniører tog vi beslutningen om at gøre opdateringer tilgængelige mere bredt. Som altid anbefaler vi kunder at opgradere til de nyeste platforme. Den bedste beskyttelse er at være på et moderne, up-to-date system, der inkorporerer de seneste forsvars-dybdegående innovationer. Ældre systemer, selvom de er fuldt opdaterede, mangler de nyeste sikkerhedsfunktioner og fremskridt,” sagde Eric Doerr, general manager for virksomhedens Security Response Center, i en separat bdlæg.
I mellemtiden Adobe har også udstedt sikkerhedsrettelser til sine mest sårbare softwaretilbud, Flash Player og Shockwave Player, to programmer, de fleste brugere sandsynligvis ville være bedre stillet uden. Virksomheden adresserer ni kritiske fejl i sin Flash Player, der kunne tillade fjernudførelse af kode, hvoraf fem skyldes hukommelseskorruption og fire er brug-efter-fri-betingelser i softwaren.
Brugere, der kører Chrome, Edge og Internet Explorer 11 og nyere, får automatisk opdateringen fra Google og Microsofts sikkerhedsteams, mens andre brugere bør e rettelserne direkte fra Adobe.
Shockwave Player modtog en patch for en enkelt sårbarhed ved fjernudførelse af kode i Windows-versionen af softwaren. Brugere bør e version Shockwave Player 12.2.9.199 for at beskytte sig selv.
