Riasztás Microsoft termékeket érintő sérülékenységekről


2021. május 12. 13:07

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki Microsoft szoftvereket érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft 2021. május havi biztonsági frissítő csomagjában összesen 55 db (3 kritikus és 52 magas kockázati besorolású) biztonsági hibát javított.

A legsúlyosabb javított sebezhetőség (CVE-2021-31166) a HTTP protokoll stacket (HTTP.sys) érinti, és illetéktelenek számára távoli kódfuttatást tehet lehetővé az érintett szerveren. A következő kritikus sérülékenység (CVE-2021-26419) az Internet Explorer scripting motorjában található, amelyet a támadó egy speciálisan szerkesztett weboldal segítségével használhat ki, amennyiben az áldozat ezt a weboldalt betölti az Internet Explorer böngészővel. A harmadik, Hyper-V kapcsán azonosított kritikus biztonsági hiba (CVE-2021-31194) sikeres kihasználása távoli kódfuttatást tehet lehetővé a támadó számára az érintett rendszeren. Az e havi biztonsági frissítőcsomag mindezek mellett három nulladik napi (zero-day) sebezhetőséget is befoltoz.

Érintett szoftverek: .NET Core és Visual Studio, HTTP.sys, Internet Explorer, Jet Red and Access Connectivity, Microsoft Accessibility Insights for Web, Microsoft Bluetooth Driver, Microsoft Dynamics Finance & Operations, Microsoft Exchange Server, Microsoft Graphics Component, Microsoft Office, Microsoft Office Excel, Microsoft Office Sharepoint, Microsoft Office Word, Microsoft Windows Codecs Library, Microsoft Windows IrDA, Open Source Software, Role: Hyper-V, Skype for Business and Microsoft Lync, Visual Studio, Visual Studio Code, Windows Container Isolation FS Filter Driver, Windows Container Manager Service, Windows CSC Service, Windows Desktop Bridge, Windows OLE, Windows Projected File System FS Filter, Windows RDP Client, Windows SMB, Windows SSDP Service, Windows WalletService, Windows Wireless Networking.

Az NBSZ NKI a biztonsági frissítések haladéktalan telepítését javasolja, amelyek elérhetőek az automatikus frissítésen keresztül, valamint manuálisan is letölthetőek a gyártói honlapokról.

Hivatkozások:

Letöltés:
  Riasztas_0512_MS_Patch_kedd.pdf

Legfrissebb sérülékenységek
CVE-2026-24858 – Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2026-1448 – D-Link sérülékenysége
CVE-2026-23745 – “node-tar” Library Path Traversal sérülékenység
CVE-2026-21509 – Microsoft Office Security Feature Bypass sérülékenység
CVE-2026-24061 – GNU InetUtils Argument Injection sérülékenység
CVE-2026-23760 – SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2025-52691 – SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2018-14634 – Linux Kernel Integer Overflow sérülékenység
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
Tovább a sérülékenységekhez »