Критическая, но «Ограниченная» угроза
Дастин Чайлдс, эксперт по безопасности из Zero Day Initiative компании Trend Micro, отметил, что реальный риск уязвимости ограничен, так как MSMQ необходимо вручную включить и открыть для доступа в интернет. «Это похоже на уязвимость ‘QueueJumper’ прошлого года, но неясно, сколько затронутых систем действительно открыты для интернета», — сказал Чайлдс. «Хотя их, вероятно, немного, сейчас самое время провести аудит ваших сетей, чтобы убедиться, что TCP порт 1801 недоступен.»
Вкратце, это серьезная уязвимость безопасности, но в данный момент ваша система, вероятно, не уязвима. Это не означает, что обновления можно откладывать.
Microsoft устраняет десятки других уязвимостей
Между тем, Microsoft исправила ряд менее критичных уязвимостей программного обеспечения, которые, по мнению Чайлдса, достаточно серьезны для немедленного устранения. Некоторые из этих уязвимостей затрагивают экземпляры Outlook (CVE-2024-30103) и Dynamics 365 (CVE-2024-35249) и позволяют выполнять удаленный код. Согласно информации от Microsoft, несколько уязвимостей в ядре Windows позволяют атаки с повышением привилегий, при которых установленная программа может быть использована для захвата системы на уровне администратора.
Microsoft не классифицирует эти проблемы как критические уязвимости программного обеспечения, так как они требуют взаимодействия пользователя для эксплуатации. Однако на практике это взаимодействие довольно тривиально; часто достаточно просто открыть вложение в электронной почте или скачать то, что кажется обновлением драйвера.
В итоге пользователям следует как можно скорее обновить Windows, а администраторам протестировать и развернуть обновления в приоритетном порядке.
Июньский Patch Tuesday от Adobe
Не желая отставать от Microsoft, Adobe выпустила собственное ежемесячное обновление патчей. Мультимедийный гигант исправил 163 различных уязвимости CVE, хотя 143 из них были связаны с пакетом уязвимостей межсайтового скриптинга в Experience Manager. Пользователям и администраторам также следует обновить программное обеспечение Adobe, хотя с несколько меньшим приоритетом.