- Сообщения
- 8,913
- Решения
- 3
- Реакции
- 5,881
Добрый день, приветствую всех с очередным отчетом SecurityCheck. 10 июня ознаменовалось очередным "Вторником патчей" во время которого Microsoft исправила 66 уязвимостей, включая одну активно эксплуатируемую уязвимость нулевого дня. Активно эксплуатируемая уязвимость нулевого дня: CVE-2025-33053 — уязвимость удаленного выполнения кода в WEBDAV. Обнаружена исследователями Check Point, позволяет выполнять произвольный код через специально созданный URL WebDAV. Исправления представлены в виде пакетов: KB5063060, KB5060999 и KB5060533 для Windows 11 24H2, 23H2 и Windows 10 22H2. Также были исправлены уязвимости в Microsoft Office, пользователям розничных версий Office 2019, 2021 и 365 будет предложено обновить программу до версии 16.0.18827.20150, а пользователям Office LTSC 2021 до версии 16.0.14334.20090.
Также на этой неделе был обновлен распространяемый пакет Microsoft Visual C++ Redistributable для Visual Studio 2015-2022, скачать и установить последнюю версию пакета можно по следующим ссылкам: x86 | x64.
Microsoft объявила о планах периодического удаления устаревших драйверов из каталога Центра обновления Windows для снижения рисков безопасности и совместимости.
Также Microsoft сообщает, что с начала июля 2025 года в Outlook Web и новом Outlook для Windows будет расширен список блокируемых вложений:
Файлы .library-ms (в Windows они определяют библиотеки, объединяющие локальные и удаленные папки в одном представлении проводника) применяются в фишинговых атаках с начала 2025 года. Такие файлы использовались для атак на правительственные организации и частные компании и эксплуатации уязвимости CVE-2025-24054, которая раскрывает хэши NTLM.
Не обошлось и без ложки дёгтя - на этот раз проблема связана с зависанием службы DHCP зависает на некоторых системах Windows Server после установки июньских обновлений, Microsoft сообщила о работе над ошибками, пообещав выпустить обновление в течение нескольких дней.
Компания Adobe выпустила обновления безопасности для продуктов Adobe Reader и Adobe Acrobat, сообщив, что исправление затрагивает важные и критические проблемы с безопасностью, при этом конкретные уязвимости не были детализированы. Пользователям будет предложено обновить Adobe Reader и Adobe Acrobat до версии 25.001.20531, на странице обновления указано, что также исправлена ошибка, связанная с падением приложений.
Компания Google дважды выпускала исправления уязвимостей для браузера Chrome за прошедшие две недели (раз, два) оба раза исправляя серьезные уязвимости (к счастью, обошлось без зеродэй). По традиции вслед за Google выпустили исправления безопасности следующие браузеры на основе Chromium: Brave, Chromium-Gost, Microsoft Edge, ungoogled-chromium и Vivaldi. Как я писал уже в прошлых выпусках, остальные производители браузеров либо игнорируют выпуск обновлений, либо не указывают информацию об этом в чейнджлогах. Как, например, Яндекс Браузер, так же синхронно выпускавший 2 обновления за прошедшее время, но не указавший нигде о закрытии каких-либо уязвимостей.
Компания Mozilla обновила стабильную версию своего браузера Firefox до версии 139.0.4, закрыв в ней 2 уязвимости. Так же по традиции были обновлены браузеры на движке Gecko: LibreWolf и Zen Browser, так же был обновлен почтовый клиент Thunderbird.
Компания Veeam выпустила обновления для исправления ряда уязвимостей в Veeam Backup & Replication (VBR), включая критическую RCE-уязвимость CVE-2025-23121. Похожая проблема уже исправлялась компанией в марте этого года, и рекомендовалось отключить продукты VBR от домена. Как объясняет Veeam в бюллетене по безопасности, уязвимость может быть использована аутентифицированными пользователями домена в атаках низкой сложности для удаленного выполнения кода на сервере резервного копирования. По традиции была обновлена версия для домашних пользователей Veeam Agent for Microsoft Windows FREE, которые будут предупреждены SecurityCheck о необходимости скачать последнюю версию.
Компания Ascensio System SIA выпустила новую версию своего офисного пакета ONLYOFFICE Desktop Editors с изменениями можно ознакомиться на странице github (переведено на русский коллегами с сайта comss.ru).
На этой неделе была обновлена распределенная система контроля версий - Git (примечания к выпуску) и клиент Git с графическим интерфейсом - GitHub Desktop (примечания к выпуску).
Компания Muse Group & contributors выпустила релиз с исправлением ошибок аудиоредактора с открытым кодом Audacity.
Также за это время были обновлены популярный аудиоплеер AIMP, видеоплеер KMPlayer 64X, один из самых популярных просмотрщиков графических файлов XnView, программа для чтения электронных книг calibre, набор DirectShow-фильтров LAV Filters, FTP-клиент WinSCP, бесплатная утилита, предоставляющая широкие данные о носителях информации: HDD, SSD, а также внешних дисках, подключенных по USB CrystalDiskInfo, а также многие другие программы, об обновлениях которых предупредит SecurityCheck.
До скорых встреч!
Также на этой неделе был обновлен распространяемый пакет Microsoft Visual C++ Redistributable для Visual Studio 2015-2022, скачать и установить последнюю версию пакета можно по следующим ссылкам: x86 | x64.
Microsoft объявила о планах периодического удаления устаревших драйверов из каталога Центра обновления Windows для снижения рисков безопасности и совместимости.
Также Microsoft сообщает, что с начала июля 2025 года в Outlook Web и новом Outlook для Windows будет расширен список блокируемых вложений:
Файлы .library-ms (в Windows они определяют библиотеки, объединяющие локальные и удаленные папки в одном представлении проводника) применяются в фишинговых атаках с начала 2025 года. Такие файлы использовались для атак на правительственные организации и частные компании и эксплуатации уязвимости CVE-2025-24054, которая раскрывает хэши NTLM.
Не обошлось и без ложки дёгтя - на этот раз проблема связана с зависанием службы DHCP зависает на некоторых системах Windows Server после установки июньских обновлений, Microsoft сообщила о работе над ошибками, пообещав выпустить обновление в течение нескольких дней.
Компания Adobe выпустила обновления безопасности для продуктов Adobe Reader и Adobe Acrobat, сообщив, что исправление затрагивает важные и критические проблемы с безопасностью, при этом конкретные уязвимости не были детализированы. Пользователям будет предложено обновить Adobe Reader и Adobe Acrobat до версии 25.001.20531, на странице обновления указано, что также исправлена ошибка, связанная с падением приложений.
Компания Google дважды выпускала исправления уязвимостей для браузера Chrome за прошедшие две недели (раз, два) оба раза исправляя серьезные уязвимости (к счастью, обошлось без зеродэй). По традиции вслед за Google выпустили исправления безопасности следующие браузеры на основе Chromium: Brave, Chromium-Gost, Microsoft Edge, ungoogled-chromium и Vivaldi. Как я писал уже в прошлых выпусках, остальные производители браузеров либо игнорируют выпуск обновлений, либо не указывают информацию об этом в чейнджлогах. Как, например, Яндекс Браузер, так же синхронно выпускавший 2 обновления за прошедшее время, но не указавший нигде о закрытии каких-либо уязвимостей.
Компания Mozilla обновила стабильную версию своего браузера Firefox до версии 139.0.4, закрыв в ней 2 уязвимости. Так же по традиции были обновлены браузеры на движке Gecko: LibreWolf и Zen Browser, так же был обновлен почтовый клиент Thunderbird.
Компания Veeam выпустила обновления для исправления ряда уязвимостей в Veeam Backup & Replication (VBR), включая критическую RCE-уязвимость CVE-2025-23121. Похожая проблема уже исправлялась компанией в марте этого года, и рекомендовалось отключить продукты VBR от домена. Как объясняет Veeam в бюллетене по безопасности, уязвимость может быть использована аутентифицированными пользователями домена в атаках низкой сложности для удаленного выполнения кода на сервере резервного копирования. По традиции была обновлена версия для домашних пользователей Veeam Agent for Microsoft Windows FREE, которые будут предупреждены SecurityCheck о необходимости скачать последнюю версию.
Компания Ascensio System SIA выпустила новую версию своего офисного пакета ONLYOFFICE Desktop Editors с изменениями можно ознакомиться на странице github (переведено на русский коллегами с сайта comss.ru).
На этой неделе была обновлена распределенная система контроля версий - Git (примечания к выпуску) и клиент Git с графическим интерфейсом - GitHub Desktop (примечания к выпуску).
Компания Muse Group & contributors выпустила релиз с исправлением ошибок аудиоредактора с открытым кодом Audacity.
Также за это время были обновлены популярный аудиоплеер AIMP, видеоплеер KMPlayer 64X, один из самых популярных просмотрщиков графических файлов XnView, программа для чтения электронных книг calibre, набор DirectShow-фильтров LAV Filters, FTP-клиент WinSCP, бесплатная утилита, предоставляющая широкие данные о носителях информации: HDD, SSD, а также внешних дисках, подключенных по USB CrystalDiskInfo, а также многие другие программы, об обновлениях которых предупредит SecurityCheck.
До скорых встреч!
