Первые впечатления от июньского Microsoft Patch Tues­day. Вроде ничего интересного. 100 CVE с учетом набежавших за месяц. При этом практически нет уязвимостей в активной эксплуатации или с публичным эксплоитом. Поэтому в ТОП отчета Vul­ris­tics вылез всякий трэш.

1. Mem­o­ry Cor­rup­tion — Microsoft Edge (CVE-2023–3079). Потому что есть активная эксплуатация, содержится в CISA KEV.
2. Remote Code Exe­cu­tion — GitHub (CVE-2023–29007). GitHub, конечно, запатчили разово и всё, критична уязвимость самого git‑а, т.к. эксплоит в паблике.
3. Remote Code Exe­cu­tion — .NET (CVE-2023–33128, CVE-2023–29331). Только потому что в CVSS Tem­po­ral есть Proof-of-Con­cept Exploit.

Просто нечего подсвечивать. 🤷‍♂️ Среди остального есть более интересные уязвимости, но пока это всё очень потенциальное:

1. Remote Code Exe­cu­tion — Microsoft Exchange (CVE-2023–32031, CVE-2023–28310). Требуется аутентификация!
2. Remote Code Exe­cu­tion — Win­dows Prag­mat­ic Gen­er­al Mul­ti­cast (PGM) (CVE-2023–29363, CVE-2023–32014, CVE-2023–32015)
3. Ele­va­tion of Priv­i­lege — Microsoft Share­Point (CVE-2023–29357)

🗒 Полный отчёт Vul­ris­tics