Riasztás Microsoft termékeket érintő sérülékenységekről – 2024. november


november 13. 15:13

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki a Microsoft szoftvereket érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft 2024. november havi biztonsági csomagjában összesen 91 különböző biztonsági hibát javított, köztük négy nulladik napi (zero-day) sebezhetőséget is. Az alábbi felsorolásban szereplő első két sebezhetőség kibertámadások során ismert módon kihasznált:

CVE-2024-43451NTLM Hash Disclosure Spoofing Vulnerability
CVE-2024-49039Windows Task Scheduler Elevation of Privilege Vulnerability
CVE-2024-49040Microsoft Exchange Server Spoofing Vulnerability
CVE-2024-49019Active Directory Certificate Services Elevation of Privilege Vulnerability

Érintett termékek és szerepkörök:
.NET and Visual Studio, Airlift.microsoft.com, Azure CycleCloud, LightGBM, Microsoft Defender for Endpoint, Microsoft Edge (Chromium-based), Microsoft Exchange Server , Microsoft Graphics Component, Microsoft Office Excel, Microsoft Office SharePoint ADV240001, Microsoft Office Word, Microsoft PC Manager, Microsoft Virtual Hard Drive, Microsoft Windows DNS, Role: Windows Active Directory Certificate Services, Role: Windows Hyper-V, SQL Server, TorchGeo, Visual Studio, Windows CSC Service, Windows Defender, Windows DWM Core Library, Windows Kerberos, Windows Kernel, Windows NT OS Kernel, Windows NTLM, Windows Package Library Manager, Windows Registry, Windows Secure Kernel Mode, Windows SMB, Windows SMBv3 Client/Server, Windows Task Scheduler, Windows Telephony Service, Windows Update Stack, Windows USB Video Driver, Windows VMSwitch, Windows Win32 Kernel Subsystem

Az NBSZ NKI a biztonsági frissítések haladéktalan telepítését javasolja, amelyek elérhetőek az automatikus frissítéssel, valamint manuálisan is letölthetők a gyártói honlapokról.

Hivatkozások:

https://msrc.microsoft.com/update-guide/releaseNote/2024-nov
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2024-patch-tuesday-fixes-4-zero-days-91-flaws/

Letöltés:
  Tajekoztato_11_13_Adobe_Patch_kedd-1.pdf

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »