Denne måned sikkerhedsopdateringer fra Microsoft rummer mange yderst vigtige sikkerhedsrettelser.
November måneds ’Patch Tuesday’ byder nemlig på lapninger til hele fire såkaldte nuldags-sårbarheder, mens der samtidig adresseres 85 øvrige sårbarheder – en af disse markerer sig dog ved at score usædvanlig højt på CVSS-trusselsskalaen.
Blandt nuldagssårbarhederne bliver to nævnt som værende aktivt udnyttet: CVE-2024-49039 som udnytter en sårbarhed i Windows Task Scheduler til at lade en angriber højne sin adgangsprivilegier, mens CVE-2024-43451 er en fejl i hash disclosure i en bred vifte af Windows-versioner.
Disse opnår en alvorsscore efter CVSS-systemet på henholdsvis 8,8 og 6,5 på en 10-talskala.
To øvrige nuldagssårbarheder fejlrettes: CVE-2024-49040, en sikkerhedsbrist I Microsoft Exchange samt CVE-2024-49019 en brist i Microsoft Active Directory.
Microsoft omtaler it-sårbarheder, som værende ’nuldags’ hvis de enten er offentligt kendt eller aktivt bliver udnyttet uden at noget officielt fiks er tilgængeligt, skriver sikkerhedsmediet Bleeping Computer.
Topscorer på CVSS-systemet
Ud over nuldagssårbarhederne er den mest alvorlige sårbarhed i denne måned er CVE-2024-43602, som ifølge CVSS vurderes til at være noget nær det mest alvorlige, hvor den scorer 9,9 ud ad 10.
Sårbarheden tillader afvikling af kode på afstand (RCE) i Azures CycleCloud værktøj, som anvendes i HPC-miljøer med Azure.
Ud over denne sikkerhedsopdatering, er Microsoft klar med lapninger rette mod to øvrige sikkerhedsbrister: CVE-2024-43498 og CVE-2024-43639, som begge scorer 9,8 ud af 10. Sidstnævnte tillader også RCE i Microsofts Kerberos.
