Microsoft heeft meer dan 60 beveiligingsoplossingen en -updates uitgebracht die problemen oplossen, waaronder een fout in de uitvoering van externe code (RCE) in MSHTML en andere kritieke bugs.
De laatste ronde van de Redmond-gigant patches, meestal uitgebracht op de tweede dinsdag van elke maand in wat bekend staat als Patch Tuesday, kwamen op 14 september uit.
Producten die door de beveiligingsupdate van september worden getroffen, zijn onder meer Azure Open Management Infrastructure, Azure Sphere, Office Excel, PowerPoint, Word en Access; de kernel, Visual Studio, Microsoft Windows DNS en BitLocker, naast andere software.
Lees verder:
Microsoft Teams: deze nieuwe functie maakt uw vergaderingen interactiever
Wat is de snelste Windows 10-webbrowser in 2021?
Op 7 september zei Microsoft dat een fout in de uitvoering van externe code in MSHTML was geïdentificeerd en werd gebruikt bij een beperkt aantal aanvallen op Windows-systemen. De zero-day kwetsbaarheid, bijgehouden als CVE-2021-40444, is in deze patchronde opgelost en het bedrijf dringt er bij gebruikers op aan om de beveiligingsoplossing onmiddellijk te accepteren.
Enkele andere opmerkelijke kwetsbaarheden die in deze update zijn opgelost, zijn:
CVE-2021-38647: met een CVSS-score van 9,8 is dit de meest kritieke bug op de lijst van september. Deze kwetsbaarheid heeft invloed op het Open Management Infrastructure (OMI)-programma en stelt aanvallers in staat om RCE-aanvallen uit te voeren zonder authenticatie door kwaadaardige berichten via HTTPS naar poort 5986 te sturen.
“Sommige Azure-producten, zoals Configuration Management, stellen een HTTP/S-poort beschikbaar voor interactie met OMI (poort 5986 ook bekend als WinRMport)”, zegt Microsoft. “Deze configuratie waarbij de HTTP/S-listener is ingeschakeld, kan externe code-uitvoering mogelijk maken. Het is belangrijk om te vermelden dat de meeste Azure-services die OMI gebruiken deze implementeren zonder de HTTP/S-poort bloot te leggen.”
CVE-2021-36968: Een openbaar gemaakte zero-day kwetsbaarheid voor escalatie van Windows DNS-rechten, gaf een CVSS-score van 7,8. Microsoft heeft tot nu toe geen enkel bewijs gevonden van exploitatie in het wild.CVE-2021-26435: Een kritieke fout (CVSS 8.1) in de Microsoft Windows-scriptengine. Deze fout met geheugenbeschadiging vereist echter interactie van de gebruiker om te worden geactiveerd.
CVE-2021-36967: Een kwetsbaarheid die als kritiek werd beschouwd en een CVSS-score van 8,0 kreeg, in de Windows WLAN AutoConfig-service die kan worden gebruikt voor misbruik van bevoegdheden.
Volgens het Zero Day Initiative (ZDI) onthullen de 66 CVE's – waaronder drie kritieke, één matige en de rest die belangrijk wordt geacht – een volume dat iets hoger is dan de gemiddelde patchsnelheid in 2021, terwijl dit nog steeds onder het volume van 2020 ligt. Bovendien werden eerder in september 20 CVE's gepatcht door Microsoft Edge (Chromium). In totaal zijn 11 van deze kwetsbaarheden ingediend via het Zero Day Initiative, voor een totaal van 86 CVE's.
Op woensdag waarschuwde Microsoft voor “Azurescape”, een kwetsbaarheid die is verzacht door de Redmond-gigant en die gevolgen heeft voor Azure Container Instances (ACI). De bug is gemeld door een onderzoeker van Palo Alto Networks.
Vorige maand loste Microsoft 44 kwetsbaarheden op in de reeks beveiligingsoplossingen van augustus. In totaal werden er drie gecategoriseerd als zero-day-fouten en bij 13 konden aanvallers RCE-aanvallen uitvoeren. In de patchversie zat een oplossing voor een veelbesproken Windows Print Spooler-kwetsbaarheid die als wapen kon worden gebruikt voor lokale escalatie van bevoegdheden.
Een maand eerder loste de techgigant 117 bugs op tijdens de juli-patch Dinsdag.
In ander beveiligingsnieuws heeft Apple een zero-day kwetsbaarheid gepatcht die naar verluidt door NSO Group werd misbruikt om gebruikers van Mac-, iPhone-, iPad- en Watch-producten te bespioneren. Daarnaast heeft Google een beveiligingsupdate uitgebracht die twee zero-day bugs verhelpt die actief in het wild worden uitgebuit.
Naast Microsoft's Patch Tuesday-ronde hebben ook andere leveranciers beveiligingsupdates gepubliceerd die hieronder te vinden zijn.
Adobe-beveiligingsupdatesSAP-beveiligingsupdatesVMWare-beveiligingsadviezenIntel-beveiligingsupdates
Verwante onderwerpen:
Microsoft Security TV Data Management CXO Datacenters