Microsoft hefur gefið út mánaðarlegar uppfærslur tengdar Microsoft Patch Tuesday. Að þessu sinni eru gefnar út uppfærslur vegna 60 veikleika í heildina, og eru 2 þeirra merktir sem mjög alvarlegir (e. critical) [1]. CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft. Mikilvægt er að lesa yfir leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.
Alvarlegir veikleikar (e.critical)
Windows Hyper-V
Veikleikinn CVE-2024-21407 með CVSSv3 veikleikastig upp á 8.1 gerir auðkenndum árásaraðila kleift að fjarkeyra kóða á hýsilþjóni (e. host server) í gegnum sýndarvél [3,4].
Microsoft Azure Kubernetes Service (AKS)
Veikleikinn CVE-2024-21400 með CVSSv3 veikleikastig upp á 9.0 er galli í AKS sem getur gefið fjartengdum árásaraðila færi á að öðlast aukin réttindi (e. gain elevated privileges) og færi á að stela aðgangsupplýsingum [2,5].
Skype
Veikleikinn CVE-2024-21411 með CVSSv3 veikleikastig upp á 8.8 gefur fjartengdum árásaraðila færi á að keyra upp kóða (e. remote code execution) með því að senda hlekk eða mynd sem hann sannfærir notanda til þess að smella á og öðlast þannig mikil réttindi (e. high privileges) [2,6].
Open Management Infrastructure (OMI)
Veikleikinn CVE-2024-21334 með CVSSv3 veikleikastig upp á 9.8 gefur fjartengdum, óauðkenndum ógnaraðila með aðgang að OMI færi á að senda sérútbúnar beiðnir til að misnota galla í meðhöndlun á minni (e. Use-after-free) [3,7].
Tilvísanir:
[1] https://msrc.microsoft.com/update-guide/en-us
[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2024-patch-tuesday-fixes-60-flaws-18-rce-bugs/
[3] https://thehackernews.com/2024/03/microsofts-march-updates-fix-61.html
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21407
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21400
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21411
[7] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21334
