V polovině května se konala akce Pwn2Own Berlin 2025 a vyplacené odměny v hodnotě 1 milionu USD byly doprovázeny mnoha nově objevenými zranitelnostmi, které postihovaly Microsoft, Google, Mozilla, VMware, NVIDIA, Oracle a další dodavatele. Od této akce vyšlo od mnoha z těchto dodavatelů několik aktualizací, takže tento měsíc očekávejte spoustu aktualizací od třetích stran.
Společnost Microsoft vydala aktualizace, které řeší 66 CVE, z nichž devět je označeno jako kritické. Kromě toho došlo k jednomu veřejnému odhalení a jednomu zero-day exploitu. Aktualizace z tohoto měsíce se týkají systémů Windows, Office, SharePoint, Visual Studio a .Net. Jak zero-day, tak i veřejné odhalení byly vyřešeny aktualizací operačního systému Windows z tohoto měsíce.
Aktualizace třetích stran od Mozilly, Googlu (včetně dvou nedávných zero-day exploitů) a Adobe předcházející Patch květen tuto zátěž ještě zvýší. Pokud vaše organizace aktualizuje aplikace, jako jsou prohlížeče, každý týden, aby držela krok s aplikacemi s průběžným vydáváním, které se běžně používají pro cílení na koncové uživatele, měli byste mít aktuální verze všech aplikací kromě Adobe. Pokud ne, měli byste se ujistit, že máte tyto aplikace zařazeny do fronty pro údržbu oprav.
Microsoft vyřešil zranitelnosti
Společnost Microsoft vyřešila zranitelnost umožňující vzdálené spouštění kódu v nástroji Web Distributed Authoring and Versioning (WEBDAV) (CVE-2025–33053), u které potvrdila, že je zneužívána. Společnost Microsoft hodnotí tuto zranitelnost jako důležitou a v testu CVSS v3.1 má skóre 8,8. Stanovení priorit na základě rizik by ji považovalo za kritickou.
Veřejně zveřejněné zranitelnosti společnosti Microsoft
Společnost Microsoft vyřešila zranitelnost typu „elevation of Privilege“ v klientovi Windows SMB (CVE-2025–33073), o které potvrdila, že je veřejně zveřejněna. Společnost Microsoft hodnotí tuto zranitelnost CVE jako důležitou a v testu CVSS v3.1 má skóre 8,8. Kód je dostatečně vyspělý na úrovni Proof-of-Concept a zranitelnost je zneužitelná na dálku, což z ní činí žádoucí cíl pro útočníky. Metodologie prioritizace založená na riziku by opodstatňovala její posouzení jako kritické.
Zranitelnosti třetích stran
Google Chrome pokračuje ve svém týdenním sledu bezpečnostních aktualizací. Očekávejte aktualizaci Chromu tento týden, která se připojí ke čtyřem vydáním a 14 chybám CVE vyřešeným od květnového patch úterý. To zahrnuje dva zero-day exploity vyřešené v posledních několika týdnech (CVE-2025–5419 a CVE-2025–4664).
Mozilla od události Pwn2Own Berlin vydala několik bezpečnostních aktualizací. Dvě CVE zneužité v této události byly vyřešeny ve verzi ze 17. května (Firefox 138.0.4) a od té doby Mozilla vydala Firefox 139 a 139.0.4 a také aktualizace pro Firefox ESR a Thunderbird. Ujistěte se, že máte nejnovější aktualizace Mozilly nainstalované na toto úterý.
Společnost Adobe vydala aktualizace pro Acrobat Reader a šest dalších produktů, které vyřešily 259 chyb CVE. 225 z nich bylo zahrnuto v aktualizaci Experience Manageru, a to za značného přispění hrstky pilných bezpečnostních výzkumníků.
Bezpečnostní poradenství Ivanti
Společnost Ivanti vydala jednu aktualizaci pro červnové úterý, která opravuje celkem tři chyby CVE. Dotčeným produktem je Ivanti Workspace Control.
Více informací naleznete v aktualizacích a informacích uvedených v červnové bezpečnostní aktualizaci na blogu Ivanti.
Priority aktualizace v červnu
- Operační systém Windows je tento měsíc nejvyšší prioritou s jedním zranitelným útokem nulového dne (CVE-2025–33053) a jedním veřejným odhalením (CVE-2025–33073).
- Pokud jste nenainstalovali aktualizace z 2. června a dříve, měl by být Google Chrome nejvyšší prioritou, protože vyřeší dva zero-day exploity (CVE-2025–5419 a CVE-2025–4664).
- Prohlížeče by obecně měly být aktualizovány každý týden, aby držely krok s nepřetržitým cyklem vydávání nových verzí. Edge, Chrome a Firefox od květnového Patch Tuesday obdržely několik aktualizací, včetně několika odhalení závažných chyb a zero-day exploitů.
Pro více informací o produktech Ivanti, nás neváhejte kontaktovat.
Zdroj: Ivanti
