Riasztás Microsoft termékeket érintő sérülékenységekről – 2024. szeptember

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki a Microsoft szoftvereket érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft 2024. szeptember havi biztonsági csomagjában összesen 79 különböző biztonsági hibát javított, köztük 4 nulladik napi (zero-day) sebezhetőséget is:

CVE-2024-38014 Windows Installer Elevation of Privilege Vulnerability

CVE-2024-38217 – Windows Mark of the Web Security Feature Bypass Vulnerability

CVE-2024-38226 – Microsoft Publisher Security Feature Bypass Vulnerability

CVE-2024-43491 Microsoft Windows Update Remote Code Execution Vulnerability

Érintett termékek és szerepkörök: Azure CycleCloud, Azure Network Watcher, Azure Stack, Azure Web Apps, Dynamics Business Central, Microsoft AutoUpdate (MAU), Microsoft Dynamics 365 (on-premises), Microsoft Graphics Component, Microsoft Management Console, Microsoft Office Excel, Microsoft Office Publisher, Microsoft Office SharePoint, Microsoft Office Visio, Microsoft Outlook for iOS, Microsoft Streaming Service, Power Automate, Role: Windows Hyper-V, SQL Server, Windows Admin Center, Windows AllJoyn API, Windows Authentication Methods, Windows DHCP Server, Windows Installer, Windows Kerberos, Windows Kernel-Mode Drivers, Windows Libarchive, Windows Mark of the Web (MOTW), Windows MSHTML Platform, Windows Network Address Translation (NAT), Windows Network Virtualization, Windows PowerShell, Windows Remote Access Connection Manager, Windows Remote Desktop Licensing Service, Windows Security Zone Mapping, Windows Setup and Deployment, Windows Standards-Based Storage Management Service, Windows Storage, Windows TCP/IP, Windows Update, Windows Win32K – GRFX, Windows Win32K – ICOMP

Az NBSZ NKI a biztonsági frissítések haladéktalan telepítését javasolja, amelyek elérhetőek
az automatikus frissítéssel, valamint manuálisan is letölthetők a gyártói honlapokról.

Hivatkozások:


Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »