Microsoft hefur gefið út mánaðarlegar uppfærslur vegna Microsoft Patch Tuesday. Í heildina eru gefnar út að þessu sinni uppfærslur vegna 172 veikleika, og eru 8 þeirra merktir sem mjög alvarlegir (e. critical) [1,2]. CERT-IS mælir með að uppfæra eins fljótt og auðið er og fara eftir leiðbeiningum frá Microsoft. Einnig er vakin sérstök athygli á því að Microsoft hefur hætt stuðningi við Windows 10 frá 14. október, 2025 og er mælt með að uppfært sé í Windows 11 [3].

Nýveilur (e. zero day) núþegar nýttar af ógnaraðilum

Veikleikinn CVE-2025-24990 með CVSSv3 veikleikastig upp á 7.8 í Windows Agere mótaldsrekli sem gerir ógnaraðila kleift að afla sér stjórnandaréttinda. Microsoft hefur fjarlægt rekilinn.
Veikleikinn CVE-2025-59230 með CVSSv3 veikleikastig upp á 7.8 í Windows Remote Access Connection Manager gerir ógnaraðila kleift að afla sér SYSTEM réttinda.
Veikleikinn CVE-2025-47827 með CVSSv3 veikleikastig upp á 4.6 í Secure Boot í IGEL OS gerir ógnaraðila kleift að komast framhjá secure boot.

Veikleikar núþegar nýttir af ógnaraðilum

Veikleikinn CVE-2025-24990 með CVSSv3 veikleikastig upp á 8.2 í AMD örgjörvum getur haft áhrif á áreiðanleika minnis (e. memory integrity).
Veikleikinn CVE-2025-24052 með CVSSv3 veikleikastig upp á 8.2 í Windows Agere mótaldsrekli sem gerir ógnaraðila kleift að öðlast stjórnandaréttindi. Microsoft hefur fjarlægt rekilinn.
Veikleikinn CVE-2025-2884 með CVSSv3 veikleikastig upp á 5.3 í TCG TPM2.0 sem gerir ógnaraðila kleift að framkvæma álagsárás (e. denial of service) árás á TPM.

Tilvísanir

[1] https://msrc.microsoft.com/update-guide
[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/
[3] https://www.bleepingcomputer.com/news/microsoft/final-windows-10-patch-tuesday-update-rolls-out-as-support-ends/