Riasztás Microsoft termékeket érintő sérülékenységekről

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki Microsoft szoftvereket érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft 2021. május havi biztonsági frissítő csomagjában összesen 55 db (3 kritikus és 52 magas kockázati besorolású) biztonsági hibát javított.

A legsúlyosabb javított sebezhetőség (CVE-2021-31166) a HTTP protokoll stacket (HTTP.sys) érinti, és illetéktelenek számára távoli kódfuttatást tehet lehetővé az érintett szerveren. A következő kritikus sérülékenység (CVE-2021-26419) az Internet Explorer scripting motorjában található, amelyet a támadó egy speciálisan szerkesztett weboldal segítségével használhat ki, amennyiben az áldozat ezt a weboldalt betölti az Internet Explorer böngészővel. A harmadik, Hyper-V kapcsán azonosított kritikus biztonsági hiba (CVE-2021-31194) sikeres kihasználása távoli kódfuttatást tehet lehetővé a támadó számára az érintett rendszeren. Az e havi biztonsági frissítőcsomag mindezek mellett három nulladik napi (zero-day) sebezhetőséget is befoltoz.

Érintett szoftverek: .NET Core és Visual Studio, HTTP.sys, Internet Explorer, Jet Red and Access Connectivity, Microsoft Accessibility Insights for Web, Microsoft Bluetooth Driver, Microsoft Dynamics Finance & Operations, Microsoft Exchange Server, Microsoft Graphics Component, Microsoft Office, Microsoft Office Excel, Microsoft Office Sharepoint, Microsoft Office Word, Microsoft Windows Codecs Library, Microsoft Windows IrDA, Open Source Software, Role: Hyper-V, Skype for Business and Microsoft Lync, Visual Studio, Visual Studio Code, Windows Container Isolation FS Filter Driver, Windows Container Manager Service, Windows CSC Service, Windows Desktop Bridge, Windows OLE, Windows Projected File System FS Filter, Windows RDP Client, Windows SMB, Windows SSDP Service, Windows WalletService, Windows Wireless Networking.

Az NBSZ NKI a biztonsági frissítések haladéktalan telepítését javasolja, amelyek elérhetőek az automatikus frissítésen keresztül, valamint manuálisan is letölthetőek a gyártói honlapokról.

Hivatkozások: