Microsoft gaf út [1] sinn hefðbundna bótapakka síðasta þriðjudag (Patch Tuesday) sem inniheldur safn öryggisuppfærslna á kerfum og tólum fyrir notendur hugbúnaðar frá þeim. Nokkrar uppfærslurnar eru vegna alvarlegra veikleika í kerfunum og hefur innviða- og netöryggisstofnun Bandaríkjanna, CISA, upplýst að ógnaraðilar eru nú þegar að misnota tvo veikleika sem voru lagaðir í febrúar.
CERT-IS mælir með að uppfæra kerfi eða fylgja leiðbeiningum framleiðanda til að koma í veg fyrir tjón.
Þriðjudagur til bóta
Í þessari safnuppfærslu [1] eru 5 veikleikar merktir mjög alvarlegir (e. critical) sem kerfisstjórar og rekstraraðilar eru hvattir til að kynna sér betur. CERT-IS vill benda sérstaklega á tvo veikleika sem ógnaraðilar eru nú þegar byrjaðir að nota þá veikleika til innbrota.
CVE-2024-21412 [2] veikleiki í Internet Shortcut Files
CVE-2024-21351 [3] veikleiki í Windows Smartscreen
Roundcube
CVE-2023-43770 [4] CISA hefur gefið út viðvörun um að árásaraðilar séu að nýta þennan veikleika til að leka upplýsingum úr Roundcube tölvupóstforritinu.
Tilvísanir
[1] https://portal.msrc.microsoft.com/en-us/security-guidance
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-43770