Riasztás Microsoft termékeket érintő sérülékenységekről – 2025. február


2025. február 13. 10:04

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki a Microsoft szoftvereket érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft 2025. február havi biztonsági csomagjában összesen 55 különböző biztonsági hibát javított, köztük 4 db nulladik napi (zero-day) sebezhetőséget is (amelyből a támadók kettőt aktívan kihasználtak):

CVE-2025-21391 – Windows Storage Elevation of Privilege Vulnerability

CVE-2025-21418 – Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability

CVE-2025-21194 – Microsoft Surface Security Feature Bypass Vulnerability

CVE-2025-21377 – NTLM Hash Disclosure Spoofing Vulnerability

Érintett termékek és szerepkörök: Microsoft High Performance Compute Pack (HPC) Linux Node Agent, Windows Kernel, Windows Installer, Windows Message Queuing, Microsoft AutoUpdate (MAU), Windows LDAP – Lightweight Directory Access Protocol, Windows Update Stack, Microsoft Dynamics 365 Sales, Microsoft Edge (Chromium-based), Microsoft Windows, Microsoft Surface, Windows Kerberos, Microsoft PC Manager, Windows DHCP Server, Windows Setup Files Cleanup, Windows Remote Desktop Services, Windows Ancillary Function Driver for WinSock, Active Directory Domain Services, Microsoft Streaming Service, Windows Telephony Server, Windows Routing and Remote Access Service (RRAS), Microsoft Office SharePoint, Windows NTLM, Windows Disk Cleanup Tool, Windows Resilient File System (ReFS) Deduplication Service, Windows Internet Connection Sharing (ICS), Microsoft Digest Authentication, Microsoft Office, Microsoft Office Excel, Windows CoreMessaging, Windows Win32 Kernel Subsystem, Visual Studio Code, Outlook for Android, Windows Storage, Microsoft Edge for iOS and Android, Windows DWM Core Library, Visual Studio, Windows DHCP Client, Windows Telephony Service, Azure Network Watcher.

Az NBSZ NKI a biztonsági frissítések haladéktalan telepítését javasolja, amelyek elérhetőek az automatikus frissítéssel, valamint manuálisan is letölthetők a gyártói honlapokról.

Hivatkozások:

Letöltés:
  Riasztas_02_12_MS_Patch_kedd.pdf

Legfrissebb sérülékenységek
CVE-2025-40551 – SolarWinds Web Help Desk Deserialization of Untrusted Data sérülékenység
CVE-2019-19006 – Sangoma FreePBX Improper Authentication sérülékenység
CVE-2025-64328 – Sangoma FreePBX OS Command Injection sérülékenység
CVE-2021-39935 – GitLab Community and Enterprise Editions Server-Side Request Forgery (SSRF) sérülékenység
CVE-2025-11953 – React Native Community CLI sérülékenysége
CVE-2026-1281 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenység
CVE-2026-24858 – Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2026-1448 – D-Link sérülékenysége
CVE-2026-23745 – “node-tar” Library Path Traversal sérülékenység
CVE-2026-21509 – Microsoft Office Security Feature Bypass sérülékenység
Tovább a sérülékenységekhez »