In de maandelijkse Patch Tuesday update lost Microsoft 117 kwetsbaarheden in verschillende onderdelen op. In vijf gevallen gaat het om niet eerder ontdekte problemen (zero days), twee daarvan worden actief misbruikt door hackers.
De veiligheidsupdate voor oktober dekt verschillende producten en diensten af, van de Windows kernel tot Office, ActiveX, Bitlocker en vele anderen. Vijf kwetsbaarheden zijn zogenaamde zero days, problemen die nog niet eerder publiek zijn gemaakt en waar dus ook nog geen oplossing voor bestond.
Microsoft merkt op dat de meeste kwetsbaarheden waarschijnlijk niet worden misbruikt. Zeven krijgen de status ‘more likely’ om te worden ingezet door cybercriminelen. Twee daarvan worden actief misbruikt, merkt het bedrijf op. Concreet gaat het om CVE-2024-43572 (Microsoft Management Console) en CVE-2024-43573 (Windows MSHTML Platform).
Social engineering
Bij die eerste kan er volgens Microsoft code van op afstand worden uitgevoerd, al verdient dat wel enige nuance. Het gaat om acties die lokaal moeten worden uitgevoerd, maar omdat dat via social engineering kan gebeuren waarbij een slachtoffer een specifiek bestand gaat downloaden, telt het als ‘remote code execution.’ Concreet gaat het om onbetrouwbare (in praktijk gemanipuleerde) Microsoft Saved Console (MSC) bestanden die worden geopend.
Bij het Windows MSHTML platform is er kans op spoofing. Bepaalde input bij het genereren van een webpagina wordt op een foute manier geneutraliseerd. Opmerkelijk: het gaat hier om een onderliggend onderdeel van Internet Explorer 11 en de Edge Legacy applicatie. Twee toepassingen die al even niet meer worden ondersteund, maar de onderliggende delen worden ook elders ingezet waardoor deze nog wel ondersteuning krijgen.
Fout opgemerkt of meer nieuws? Meld het hier