Первые впечатления от майского Microsoft Patch Tues­day. Давненько не было таких малюсеньких Patch Tues­day. 57 CVE с учетом набежавших за месяц. А если смотреть выпущенные только во вторник, то всего 38! 😄

1. Mem­o­ry Cor­rup­tion — Microsoft Edge (CVE-2023–2033). Наиболее критичная, но вендоры не подсвечивают. Это уязвимость в Chrome, о которой три недели трубят. Естественно касается и Edge. Есть в CISA KEV.
2. Secu­ri­ty Fea­ture Bypass — Secure Boot (CVE-2023–24932). Уязвимость используется в Black­Lo­tus UEFI bootk­it.
3. Mem­o­ry Cor­rup­tion - Microsoft Edge (CVE-2023–2136). Ещё одна критичная уязвимость в Chrome, есть в CISA KEV.
4. Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2023–29336). Пишут, что возможно уязвимость эксплуатируется при открытии зловредного RTF файла. Есть в CISA KEV.
5. Remote Code Exe­cu­tion — Microsoft Share­Point (CVE-2023–24955). Уязвимость продемонстрирована на Pwn2Own Van­cou­ver.

Полный отчет Vul­ris­tics