Hoppa yfir valmynd

Bótadagur - Microsoft Patch Tuesday – desember

14. des. 2023

Bótadagur - Microsoft Patch Tuesday

Microsoft hefur gefið út uppfærslur tengt hefðbundnum mánaðarlegum bótadegi Microsoft (e. Microsoft Patch Tuesday) [1]. Að þessu sinni er upplýst um 34 tilkynningar vegna veikleika og þar af eru fjórir mjög alvarlegir (e. critical). Upplýst er um einn núlldagsveikleika, CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft
Mikilvægt er að lesa vel leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.

Núlldagsveikleikar

AMD Speculative Leaks - CVE-2023-20588
Veikleikinn CVE-2023-20588 er með CVSSv3 einkunn upp á 5.5. Veikleikinn er í ákveðnum AMD örgjörvum og gæti mögulega skilað viðkvæmum upplýsingum.

Alvarlegir veikleikar (e. critical)

Microsoft Power Platform Connector - CVE-2023-36019
Veikleikinn með CVSSv3 einkunn upp á 9.6 gerir ógnaraðila kleift að útbúa slóðir, forrit eða skjöl og láta þau lýta út eins og löglegar slóðir eða skjöl. Ef að notandi smellir á slóðina eða opnar skjalið keyrist upp kóði (e. Malicious script) í vafra notandans [2].

Windows Internet Connection Sharing (ICS) - CVE-2023-35630 og CVE-2023-35641
Veikleikarnir með CVSSv3 einkunn upp á 8.8 gera ógnaraðila á sama nethluta (e. network segment) kleift að fjarkeyra kóða (e. remote code execution) í gegnum DHCPv6 skilaboð á netþjóni sem keyrir Internet Connection Sharing service [3] [4].

Windows MSHTML Platform - CVE-2023-35628
Veikleikinn með CVSSv3 einkunn upp á 8.1 gerir ógnaraðila kleift að senda póst með slóð sem getur endað í fjarkeyrslu kóða (e. remote code execution) ef slóðin er opnuð. Undir ákveðnum kringumstæðum getur ógnaraðili útbúið sérstakan póst sem keyrir upp kóða þegar pósturinn lendir í pósthólfinu, án viðkomu viðtakanda [5].

Tilvísanir:

[1] https://msrc.microsoft.com/update-guide/en-us
[2] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-36019
[3] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-35630
[4] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-35641
[5] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-35628