Microsoft hefur gefið út mánaðarlegar uppfærslur tengdar Microsoft Patch Tuesday. Í heildina eru gefnar út að þessu sinni uppfærslur vegna 51 veikleika, og er 1 þeirra merktur sem mjög alvarlegur (e. critical) [1]. CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft. Mikilvægt er að lesa yfir leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.
Núlldagsveikleikar (e. zero-day)
Microsoft Message Queuing (MSMQ)
Veikleikinn CVE-2024-30080 með CVSSv3 veikleikastig upp á 9.8 gerir fjartengdum árásaraðila kleift að keyra kóða með því að senda sértilbúinn MSMQ pakka á MSMQ þjón. Til þess að hægt sé að misnota veikleikann þarf Windows messaging queueing þjónustan að vera virk (e. enabled). Ekki er búið að gefa út uppfærslu sem lagfærir veikleikann en Microsoft hefur gefur út leiðbeiningar um mótvægisaðgerðir [2,3].
Alvarlegir veikleikar
Windows Kernel
Veikleikarnir CVE-2024-30064 og CVE-2024-30068 með CVSSv3 veikleikastig upp á 8.8 eru gallar í AppContainer [4] og AppContainer Isolation [5] sem er hægt að misnota ef ógnaraðili er skráður inn og geta leitt til aukningar á réttindum (e. elevation of privilege).
Microsoft Speech API (SAPI)
Veikleikinn CVE-2024-30097 með CVSSv3 veikleikastig upp á 8.8 er galli í SAPI hluta stýrikerfisins sem getur leitt til þjónusturofs (e. denial of service) eða keyrslu á kóða (e. arbitrary code) [6].
Outlook
Veikleikinn CVE-2024-30103 með CVSSv3 veikleikastig upp á 8.8 er galli sem leyfir auðkenndum ógnaraðila að fara framhjá Outlook skráningarsíum og búa til illgjarnar DLL skrár [7].
Dynamics 365 Business Central
Veikleikinn CVE-2024-35249 með CVSSv3 veikleikastig upp á 8.8 er þáttunarveikleiki á ótraustum gögnum (e. deserialization of untrusted data) og getur árásaraðili sem er auðkenndur misnotað veikleikann án þess að vera með stjórnunarréttindi [8].
Azure Science Virtual Machine (DSVM)
Veikleikinn CVE-2024-37325 með CVSSv3 veikleikastig upp á 8.1 er galli sem felst í birtingu á viðkvæmum upplýsingum. Óauðkenndur árásaraðili getur sent sérútbúna beiðni til vélar sem notar eldri útgáfur af Linux/Ubuntu DSVM og fengið þannig aðgangsupplýsingar notenda [9].
Tilvísanir
[1] https://msrc.microsoft.com/update-guide/en-us
[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2024-patch-tuesday-fixes-51-flaws-18-rces/
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30068
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30064
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30097
[7] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30103
[8] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35249
[9] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-37325