Microsoft risolve 73 vulnerabilità software nel Patch tuesday di giugno 2023

Microsoft ha rilasciato aggiornamenti per correggere importanti lacune di sicurezza del suo sistema operativo Windows e di altri componenti software nel corso degli aggiornamenti del Patch tuesday di giugno 2023. Di 73 falle identificate, sei sono considerate Critiche, 63 Important, due Moderated, e una Low per quanto riguarda la gravità. Ciò include anche tre problemi che il colosso tecnologico ha risolto nel suo browser Edge basato su Chromium.

La sicurezza di Edge e il bug zero-day

È da segnalare che Microsoft ha risolto anche altre 26 falle in Edge, tutte legate a Chromium, da quando ha rilasciato gli aggiornamenti del Patch Tuesday di maggio. Questo include il bug zero-day CVE-2023-3079, che Google ha rivelato essere attivamente sfruttato la settimana scorsa. Gli aggiornamenti di giugno 2023 segnano anche la prima volta in diversi mesi che non vediamo alcun difetto zero-day nei prodotti Microsoft noti al pubblico o sotto attacco attivo al momento del rilascio.

Correzioni principali: SharePoint e Windows PGM

In cima alla lista delle correzioni c'è il CVE-2023-29357 (punteggio CVSS: 9.8), una falla di escalation di privilegi in SharePoint Server che potrebbe essere sfruttata da un attaccante per ottenere privilegi di amministratore. "Un attaccante che ha ottenuto l'accesso a token di autenticazione JWT contraffatti può usarli per eseguire un attacco alla rete che elude l'autenticazione e gli consente di ottenere l'accesso ai privilegi di un utente autenticato", ha dichiarato Microsoft. Inoltre, sono state risolte da Redmond tre gravi falle di esecuzione di codice remoto (CVE-2023-29363, CVE-2023-32014, e CVE-2023-32015, punteggio CVSS: 9.8) in Windows Pragmatic General Multicast (PGM) che potrebbero essere sfruttate per "ottenere l'esecuzione di codice remoto e tentare di attivare codice malevolo."

Patch software da altri fornitori

Oltre a Microsoft, negli ultimi mesi anche altri fornitori hanno rilasciato aggiornamenti di sicurezza per risolvere diverse vulnerabilità. Tra questi ci sono Adobe, Android, Arm, Cisco, Citrix, Dell, Drupal, F5, Fortinet, GitLab, Google Chrome, Hitachi Energy, HP, IBM, Lenovo, varie distribuzioni Linux tra cui Debian, Oracle Linux, Red Hat, SUSE e Ubuntu, MediaTek, Mitsubishi Electric, MOVEit Transfer, Mozilla Firefox, Firefox ESR e Thunderbird, NETGEAR, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, Splunk, Synology, Trend Micro, Veritas, VMware, WordPress, Zoom e Zyxel.