Tirsdag udsendte Microsoft 63 sikkerhedsrettelser som en del af selskabets månedlige patch tuesday.
Blandt de 63 sikkerhedsrettelser stikker én ud: En 0-day-fejl, der allerede er i brug hos angribere.
Fejlen – CVE-2025-62215 – sidder i Windows’ kernel og giver rettigheder til selve systemet, hvis angriberen vinder et såkaldt race condition-løb.
En race condition opstår, når to processer kæmper om at udføre noget først – og sikkerheden bryder sammen, hvis den forkerte vinder. I kernel-fejlen udnytter hackeren et splitsekund mellem tjek og handling til at overtage systemet.
"Samtidig adgang til en delt ressource uden korrekt styring (race condition) i Windows Kernel gør det muligt for en angriber med lokal adgang at opnå forhøjede systemrettigheder," skriver Microsoft i opdateringsnoterne.
Når det lykkes, får man adgang til maskinens inderste kontrolniveau. Og så er det ikke længere din computer.
Microsoft bekræfter, at fejlen udnyttes, men afslører hverken af hvem eller hvordan. Det gør den til månedens mest alvorlige sårbarhed.
Patch Tuesday med 63 fejl
Ud over kernel-fejlen lukker Microsoft blandt andet:
- 29 Elevation of Privilege Vulnerabilities
- 2 Security Feature Bypass Vulnerabilities
- 16 Remote Code Execution Vulnerabilities
- 11 Information Disclosure Vulnerabilities
- 3 Denial of Service Vulnerabilities
- 2 Spoofing Vulnerabilities
Opdateringen markerer også starten på betalingsperioden for Windows 10-brugere, som fremover skal tilmelde sig ESU-programmet for at få sikkerhedsrettelser.
