Microsoft hefur gefið út mánaðarlegar uppfærslur tengdar Microsoft Patch Tuesday. Að þessu sinni eru gefnar út uppfærslur vegna 61 veikleika í heildina, og er 1 þeirra merktur sem mjög alvarlegur (e. critical) [1,2]. Einnig hefur VMware og Adobe Acrobat hafa gefið út uppfærslur til að lagfæra alvarlega veikleika í sínum vörum. CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft. Mikilvægt er að lesa yfir leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.
Microsoft Patch Tuesday
Veikleikar núþegar nýttir af ógnaraðilum (0-day)
Windows MSHTML Platform Security Feature Bypass Vulnerability
Veikleikinn CVE-2024-30040 er með CVSSv3 veikleikastig upp á 8.8 og ef misnotaður getur ógnaraðili farið fram hjá öryggiskerfi í Windows MSHTML [3].
Windows DWM Core Library Elevation of Privilege Vulnerability
Veikleikinn CVE-2024-30051 er með CVSSv3 veikleikastig upp á 7.8 og ef misnotaður getur ógnaraðili fengið SYSTEM réttindi [4].
Alvarlegir veikleikar
Microsoft SharePoint Server Remote Code Execution Vulnerability
Veikleikinn CVE-2024-30044 er með CVSSv3 veikleikastig upp á 8.8 og getur gert ógnaraðila kleift að fjarkeyra kóða (e. remote code execution) á SharePoint [5].
VMware
Þrír veikleikar voru lagaðir sem höfðu verið nýttir á Pwn2Own. Þessir veikleikar innihéldu “use after free” á bluetooth þætti sem gerði kleift að framkvæma handahófskenndan kóða CVE-2024-22267 og lesa úr minni hypervisor CVE-2024-22269, CVE-2024-22270. VMware hefur gefið út öryggistilkynningar og uppfærslur eru nú í boði [6,7].
Adobe Acrobat
Adobe Acrobat fyrir eldri útgáfur
Tilkynnt var um alvarlega veikleika í útgáfum 20.005.30635 og 24.002.20759 af Adobe Acrobat, sem geta leitt til handahófskenndrar kóðaframkvæmdar ef notandi opnar illgjarnan skrá. Fjölmargir veikleikar voru uppgötvaðir, þar á meðal „use after free“ CVE-2024-30284, CVE-2024-34094 sem eru hafa verið metnir með CVSSv3.1 veikleikastig upp á 7.8, þar sem notkunin krefst notenda samskipta. Veikleikinn CVE-2024-30310 sem er af gerðinni skrif út fyrir minni „out-of-bounds write“, einnig fundust veikleikarnir CVE-2024-30310, CVE-2024-30311, CVE-2024-30312, og CVE-2024-34101 sem eru af gerðinni „out-of-bounds read“, sem gerir það mögulegt fyrir árásaraðila að nálgast viðkvæmar upplýsingar úr minni tölvunnar [8,9].
Tilvísanir
[1] https://msrc.microsoft.com/update-guide/releaseNote/2024-May
[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2024-patch-tuesday-fixes-3-zero-days-61-flaws/
[3] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30040
[4] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30051
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30044
[6] https://www.securityweek.com/vmware-patches-vulnerabilities-exploited-at-pwn2own-2024/
[7] https://thehackernews.com/2024/05/vmware-patches-severe-security-flaws-in.html
[8] https://helpx.adobe.com/security/products/acrobat/apsb24-29.htm
[9] https://www.securityweek.com/adobe-patches-critical-flaws-in-reader-acrobat/
