14. desember 2023

Bótadagur – Microsoft Patch Tuesday – desember

Bótadagur – Microsoft Patch Tuesday

Microsoft hefur gefið út uppfærslur tengt hefðbundnum mánaðarlegum bótadegi Microsoft (e. Microsoft Patch Tuesday) [1]. Að þessu sinni er upplýst um 34 tilkynningar vegna veikleika og þar af eru fjórir mjög alvarlegir (e. critical). Upplýst er um einn núlldagsveikleika, CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft.
Mikilvægt er að lesa vel leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.

Núlldagsveikleikar

AMD Speculative Leaks – CVE-2023-20588
Veikleikinn CVE-2023-20588 er með CVSSv3 einkunn upp á 5.5. Veikleikinn er í ákveðnum AMD örgjörvum og gæti mögulega skilað viðkvæmum upplýsingum.

Alvarlegir veikleikar (e. critical)

Microsoft Power Platform Connector – CVE-2023-36019
Veikleikinn með CVSSv3 einkunn upp á 9.6 gerir ógnaraðila kleift að útbúa slóðir, forrit eða skjöl og láta þau lýta út eins og löglegar slóðir eða skjöl. Ef að notandi smellir á slóðina eða opnar skjalið keyrist upp kóði (e. Malicious script) í vafra notandans [2].

Windows Internet Connection Sharing (ICS) – CVE-2023-35630 og CVE-2023-35641
Veikleikarnir með CVSSv3 einkunn upp á 8.8 gera ógnaraðila á sama nethluta (e. network segment) kleift að fjarkeyra kóða (e. remote code execution) í gegnum DHCPv6 skilaboð á netþjóni sem keyrir Internet Connection Sharing service [3] [4].

Windows MSHTML Platform – CVE-2023-35628
Veikleikinn með CVSSv3 einkunn upp á 8.1 gerir ógnaraðila kleift að senda póst með slóð sem getur endað í fjarkeyrslu kóða (e. remote code execution) ef slóðin er opnuð. Undir ákveðnum kringumstæðum getur ógnaraðili útbúið sérstakan póst sem keyrir upp kóða þegar pósturinn lendir í pósthólfinu, án viðkomu viðtakanda [5].