这个补丁周二收获是另一个大的。单独的Windows更新包括七个零天漏洞更新,其中两个是由一个名为Puzzlemaker的群体积极使用,其他四个也在野外看到,另外还有一个不知道其他零天漏洞被积极剥削。添加到45个漏洞,标记为Android,Adobe,SAP和Cisco的重要性,以及安全更新。您可以实际上看到IT员工加扰,以弄清楚首先做什么以及需要在应用补丁之前检查的内容。

普拉姆制造商

安全研究人员发现了一个被称为新的威胁演员普拉姆制造商,这是使用Google Chrome和Windows 10个零日的链条在全球多家公司的高度针对性攻击中找到的。遗憾的是,研究人员无法得出识别所使用的铬脆弱性(但他们确实有嫌疑人)。好消息是,攻击链中的两个Windows漏洞包括在Windows 10 KB5003637&KB5003635累积更新中。这些漏洞列为CVE-2021-31955,Windows内核信息披露漏洞,以及CVE-2021-31956,Windows NTFS Privilege漏洞的高度。

其他关键问题

Microsoft这款6月份提供的其他关键修补程序包括这些积极开发的漏洞:

  • CVE-2021-33739,一个Microsoft DWM核心库提升特权漏洞。
  • CVE-2021-33742Windows MSHTML平台远程执行漏洞。
  • CVE-2021-31199Microsoft增强了Proceptography Provider的提升漏洞。
  • CVE-2021-31201另一个Microsoft增强了加密提供程序的特权漏洞提升。

不是(又一)积极开发零天漏洞:

其他关键更新:

安卓

Android安全公告6月7日在系统组件中提出了一个关键的安全漏洞,“可以使用特制的传输使远程攻击者能够在特权进程的上下文中执行任意代码”,这与它声音一样糟糕。这个漏洞,列为CVE-2021-0507.,可以允许攻击者控制目标Android设备,除非它被修补。

思科

思科发布了一个修补对于Cisco Firepower威胁防御(FTD)软件的基于软件的SSL / TLS消息处理程序中的漏洞,可以允许未经身份验证的远程攻击者触发受影响设备的重新加载,从而导致拒绝服务(DOS)条件。攻击者可以通过发送制作的SSL / TLS消息来利用此漏洞通过受影响的设备。发送的SSL / TLS消息受影响的设备不会触发此漏洞。思科通知我们这个问题没有解决方法。修补是唯一的解决方案。

树液

在SAP咨询中安全补丁日 - 2021年6月我们可以找到两个标签为“热门新闻”的问题:

  • CVE-2021-2760.2SAP Commerce,版本 - 1808,1811,1905,2005,200111,805,2005,1211,BackOffice应用程序允许某些授权用户创建源规则,该规则在发布到应用程序中的某些模块时被转换为Drools规则。具有此授权的攻击者可以在源规则中注入恶意代码,并执行远程代码执行,使其能够危及应用程序的机密性,完整性和可用性。
  • CVE-2021-27610SAP NetWeaver ABAP服务器和ABAP平台中的身份验证不当。

adobe.

要关闭一些东西,Adobe发布了一个巨人修补周二安全更新修复在十个应用程序中修复漏洞,包括Adobe Acrobat(当然),读者和Photoshop。特别是Adobe Acrobat和Reader中的五种漏洞是解决了解决多个关键漏洞的。acrobat的决心将其放在地位新的闪光没有显示调光的迹象。

成功的开发可以在Windows和MacOS上的当前用户的上下文中导致任意代码执行。对于Photoshop中的两个QualityVulnersability,它可能导致Toetbitrary代码执行当前用户的上下文。

CVE.

公开披露的计算机安全漏洞列于常见的漏洞和公开(CVE)数据库中。其目标是使其更容易跨单独的漏洞功能(工具,数据库和服务)共享数据。这就是为什么我们尝试将您链接到CVE的仲裁列表。它允许有关方面查找和比较漏洞。

幸福的修补,每个人!