Microsoft hefur gefið út mánaðarlegar uppfærslur tengdar Microsoft Patch Tuesday. Í heildina eru gefnar út að þessu sinni uppfærslur vegna 38 veikleika, og eru 6 þeirra merktir sem mjög alvarlegir (e. critical). Þrír veikleikar eru flokkaðir sem nýveilur (e. zero day) og eru samkvæmt Microsoft þegar nýttir af ógnaraðilum. CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft. Mikilvægt er að lesa yfir leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.
Veikleikar núþegar nýttir af ógnaraðilum (0-day)
Win32k Kernel
Veikleikinn CVE-2023-29336 með CVSSv3 skor uppá 7.8 gerir ógnaraðila kleift að fá SYSTEM réttindi.
Windows Boot Manager
Veikleikinn CVE-2023-24932 með CVSSv3 skor uppá 6.7 gerir ógnaraðila með aðgangsréttindi eða beinan aðgang að tæki kleift að keyra upp UEFI Bootkit spillivísinum.
Microsoft Outlook
Veikleikinn CVE-2023-29325 með CVSSv3 skor uppá 8.1 gerir ógnaraðila kleift að senda sérútbúinn póst á viðtakanda og keyra upp spillikóða á tæki viðtakandans. Til að spillikóðinn ræsist þarf viðtakandinn að opna viðkomandi tölvupóst eða vera með outlook póstforritið stillt á að forskoða póst.
Alvarlegir veikleikar (e. critical)
Secure Socket Tunneling Protocol (SSTP)
Veikleikinn CVE-2023-24903 með CVSSv3 skor uppá 8.1 gerir ógnaraðila kleift að senda sérútbúinn pakka á SSTP netþjón og keyra upp spillikóða á þjóninum.
Lightweight Directory Access Protocol (LDAP)
Veikleikinn CVE-2023-28283 með CVSSv3 skor uppá 8.1 gerir óauðkenndum ógnaraðila kleift að keyra kóða í gegnum sérútbúin LDAP köll til þess að keyra upp spillikóða á LDAP þjónustunni.
Microsoft SharePoint
Veikleikinn CVE-2023-24955 með CVSSv3 skor uppá 7.2 gerir auðkenndum ógnaraðila sem eigandi síðu kleift að keyra upp spillikóða á SharePoint þjóninum.
Windows Pragmatic General Multicast (PGM) Server
Veikleikinn CVE-2923-24943 er með CVSSv3 skor uppá 9.8. Þegar Windows Message Queuing þjónustan er keyrandi í PGM þjónustuumhverfinu getur ógnaraðili sent inn sérútbúna skrá í gegnum netið til þess að keyra upp spillikóða.
Windows Network File System
Veikleikinn CVE-2023-24941 með CVSSv3 skor uppá 9.8 gerir óauðkenndum ógnaraðila kleift að framkvæma sérútbúin köll í gegnum netið til þess að keyra upp spillikóða.