← ब्लॉग पर वापस
Security Briefing4 मिनट पढ़ें2026-06-03

सुरक्षा ब्रीफिंग, 3 जून 2026: Microsoft Defender KEV समय-सीमा, Android ज़ीरो-डे पैच, GitHub Enterprise RCE खामी, और Grindr डेटा लीक

आज का साझा सूत्र यह है कि “एक फिक्स मौजूद है” और “फिक्स वास्तव में लागू है” के बीच का अंतर। दो शोषित Defender खामियाँ एक संघीय पैच समय-सीमा तक पहुँचती हैं, Android एक इन-द-वाइल्ड बग को बंद करता है, एक GitHub बैकएंड RCE अधिकांश सेल्फ-होस्टेड इंस्टेंसेस पर अभी भी अनपैच्ड बैठा है, और एक पहचान लीक सबको याद दिलाता है कि उजागर डेटा किसी भी एकल पैच चक्र से अधिक समय तक रहता है।


मुख्य बात: दो Microsoft Defender CVEs के लिए CISA KEV समय-सीमा पूरी करें, सक्रिय रूप से शोषित Framework बग को बंद करने के लिए जून का Android अपडेट पुश करें, यदि आप उन 88% में हैं जिन्होंने नहीं किया है तो GitHub Enterprise Server को CVE-2026-3854 के विरुद्ध पैच करें, और कथित Grindr लीक को केवल एक गोपनीयता समस्या नहीं, बल्कि एक क्रेडेंशियल-रोटेशन और अकाउंट-टेकओवर समस्या मानें।


1. दो शोषित Microsoft Defender खामियाँ आज एक CISA KEV समय-सीमा तक पहुँचती हैं

CISA ने CVE-2026-41091 और CVE-2026-45498 को अपने Known Exploited Vulnerabilities कैटलॉग में जोड़ा, जिसमें संघीय नागरिक एजेंसियों के लिए 3 जून 2026 की उपचार समय-सीमा है। CVE-2026-41091 (CVSS 7.8) एक हमलावर को SYSTEM विशेषाधिकार प्राप्त करने दे सकती है, जबकि CVE-2026-45498 (CVSS 4.0) Defender को प्रभावित करने वाला एक डिनायल-ऑफ-सर्विस बग है। एक KEV लिस्टिंग सबसे स्पष्ट संकेत है कि शोषण वास्तविक है, सैद्धांतिक नहीं।


2. Android का जून अपडेट एक सक्रिय रूप से शोषित प्रिविलेज-एस्केलेशन बग को बंद करता है

Google का जून 2026 Android अपडेट 124 कमजोरियों को संबोधित करता है, जिसमें एक उच्च-गंभीरता वाली Framework खामी, CVE-2025-48595 (CVSS 8.4) शामिल है, जो सक्रिय शोषण के अधीन है और बिना उपयोगकर्ता इंटरैक्शन के प्रिविलेज एस्केलेशन की अनुमति देती है। नो-इंटरैक्शन एस्केलेशन सबसे खतरनाक प्रकार है क्योंकि यह “लिंक पर टैप न करें” सलाह को एक नियंत्रण के रूप में हटा देता है।


3. एक GitHub बैकएंड RCE अपस्ट्रीम पैच हो चुका है पर अधिकांश सेल्फ-होस्टेड सर्वरों पर अभी भी खुला है

Wiz द्वारा प्रकट CVE-2026-3854 GitHub के आंतरिक Git इन्फ्रास्ट्रक्चर में एक क्रिटिकल रिमोट कोड एक्ज़ीक्यूशन खामी थी: एक प्रमाणित उपयोगकर्ता एक ही git push से बैकएंड नोड्स पर मनमाने कमांड चला सकता था, और उन नोड्स के पास लाखों सार्वजनिक और निजी रिपॉज़िटरीज़ तक पहुँच थी। GitHub.com को रिपोर्ट किए जाने वाले दिन ही ठीक कर दिया गया और कोई इन-द-वाइल्ड दुरुपयोग नहीं मिला, लेकिन सार्वजनिक प्रकटीकरण के समय लगभग 88% GitHub Enterprise Server इंस्टेंसेस अभी भी अनपैच्ड थे।


4. कथित Grindr लीक एक पहचान और अकाउंट-टेकओवर समस्या है

3 जून 2026 को रिपोर्ट किया गया एक डेटा लीक कथित तौर पर Grindr उपयोगकर्ताओं के पासवर्ड और लोकेशन डेटा को उजागर करता है। अपुष्ट होने पर भी, उजागर क्रेडेंशियल और सटीक लोकेशन इतिहास उच्च-प्रभाव वाले हैं: पासवर्ड सेवाओं में पुनः उपयोग किए जाते हैं, और लोकेशन डेटा एक संवेदनशील उपयोगकर्ता आधार के लिए वास्तविक-दुनिया की सुरक्षा और जबरन वसूली का जोखिम पैदा करता है।


लंच से पहले सुरक्षा टीमों को क्या करना चाहिए

  1. Defender वर्शन सत्यापित करें और CVE-2026-41091 तथा CVE-2026-45498 के लिए CISA KEV समय-सीमा पूरी करें।
  2. शोषित Framework बग को बंद करने के लिए प्रबंधित डिवाइसों पर जून का Android अपडेट पुश करें।
  3. GitHub Enterprise Server को CVE-2026-3854 के विरुद्ध पैच करें और बैकएंड Git नोड्स को आइसोलेट करें।
  4. जहाँ Grindr लीक आपके उपयोगकर्ताओं या पुनः उपयोग किए गए पासवर्ड से ओवरलैप करता है वहाँ क्रेडेंशियल रोटेशन और MFA लागू करें।

स्रोत


निचली पंक्ति: आज का जोखिम फिक्स की कमी नहीं है — यह पैच लेटेंसी और अपरिवर्तनीय एक्सपोज़र है। KEV समय-सीमाएँ, मोबाइल अपडेट, और सेल्फ-होस्टेड बैकएंड केवल लागू होने के बाद ही आपकी रक्षा करते हैं, और लीक हुआ पहचान डेटा कभी अन-लीक नहीं होता।

हमलावरों से पहले पैच गैप और उजागर सरफेस खोजें

KENSAI टीमों को उनके अटैक सरफेस में अनपैच्ड एज सॉफ़्टवेयर, उजागर सेल्फ-होस्टेड इन्फ्रास्ट्रक्चर, कमज़ोर पहचान फ्लो, और पुनः उपयोग किए गए क्रेडेंशियल जोखिम को पहचानने में मदद करता है।

मुफ़्त स्कैन शुरू करें →

सतर्क रहें।

🗡️ KENSAI सुरक्षा टीम