9 июня 2020 года компания Microsoft выпустила июньский пакет обновлений безопасности (Patch Tuesday) для Windows 10 версий 2004, 1909, 1903, 1809 и 1607, Windows 8.1 и Windows 7, а также Windows Server 2008/2012/2016 и 2019. Этот пакет обновлений стал самым большим по количеству закрытых уязвимостей за всю историю выпусков Patch Tuesday от Microsoft. В марте этого года было исправлено 115 уязвимостей, а в апреле — 113.
В июньском комплекте патчей Microsoft устранила 129 уязвимостей в 16 программных продуктах компании, включая Edge, IE, Office, Defender, Visual Studio, System Center. Среди них были: 15 критических уязвимостей, причем там отсутствуют исправления уязвимостей нулевого дня, 109 серьезных, 7 со средним уровнем угроз и 2 уязвимости с низким уровнем влияния на систему. Microsoft пояснила, что ни одна из исправленных уязвимостей не использовалась злоумышленниками ранее.
Microsoft рекомендует системным администраторам проверить работоспособность июньских обновлений безопасности на тестовых ПК и серверах, прежде чем развертывать все июньские патчи на основных рабочих системах в компаниях.
Общий список всех закрытых уязвимостей, а также в табличной форме перечень июньских патчей от Microsoft для каждой из версий ОС Windows доступен на специально созданной порталом ZDNet странице, чтобы системные администраторы могли сразу оценить масштабы и необходимое количество обновлений для их систем.
Наиболее серьезные закрытые уязвимости в июньском пакете обновлений безопасности (Patch Tuesday) для Windows:
- CVE-2020-1163 — повышение привилегий пользователя с помощью Microsoft Windows Defender;
- CVE-2020-1162 — повышение привилегий пользователя с помощью Windows Security Health Service;
- CVE-2020-1181 — удаленное выполнение кода в Microsoft SharePoint;
- CVE-2020-1225, CVE-2020-1226 — удаленное выполнение кода в Microsoft Excel;
- CVE-2020-1248 — удаленное выполнение кода в Windows Graphics Device Interface (GDI);
- CVE-2020-1213, CVE-2020-1214, CVE-2020-1215, CVE-2020-1216, CVE-2020-1230, CVE-2020-1260 — удаленное выполнение кода в движке сценариев Windows VBScript;
- CVE-2020-1281 — удаленное выполнение кода в Windows OLE;
- CVE-2020-1299 — удаленное выполнение кода при обработке файлов .LNK в Windows;
- CVE-2020-1300 — удаленное выполнение кода в компоненте диспетчера очереди печати Windows;
- CVE-2020-1301 — удаленное выполнение кода в протоколе Windows SMB (Server Message Block);
- CVE-2020-1314 — повышение привилегий пользователя с помощью Windows Text Service Framework;
- CVE-2020-1317 — повышение привилегий пользователя с помощью редактора групповых политик (Group Policy);
Вдобавок в состав июньского пакета обновлений безопасности (Patch Tuesday) для Windows входит патч KB4560960 для Windows 10 версий 1909 и 1903. После его установки в фоновом режиме начнется подготовка ОС к обновлению до Windows 10 версии 2004 и станет доступна установка Windows 10 May 2020 Update через Центр обновления Windows.
См. также:
- «Релиз Windows 10 May 2020 Update откладывается до конца мая из-за необходимости залатать уязвимость нулевого дня»
- «Microsoft отговаривает пользователей от обновления Windows 10 до версии 2004 — её признали «проблемной»
- «Microsoft предупредила, что в Windows 10 версии 2004 отключаются внешние дисплеи при рисовании в Word или Whiteboard
- «Microsoft закрыла три уязвимости нулевого дня в Windows в апрельском пакете обновлений безопасности