Patch Tuesday: Advarer om 0-dagssårbarheder

Af Eskil Sørensen, 09/08/23

Kritiske sårbarheder i bl.a. Exchange Server og Microsoft Message Queuing.

Microsoft har i går offentliggjort sine opdateringer i forbindelse med Patch Tueday for august. I alt er der rettelser til 74 fejl, hvoraf mindst en er under aktiv udnyttelse, mens 23 sårbarheder vedrører fjernafvikling af kode. Seks betegnes som kritiske, dvs. de har fået en CVSS-score på mere end 9. Det skriver en række medier i deres omtale af august måneds version af den sædvanlige opdateringscyklus, som hver måned skaber travlhed hos systemadministratorer verden over.

Sårbarhederne ligger bl.a. i Microsoft Office, Edge, Dynamics, Defender og Windows Kernel m.v., som der er udsendt patches til. Særligt kan fremhæves sårbarhederne CVE-2023-21709 (Exchange Server, CVSS: 9.8), CVE-2023-29328 og CVE-2023-29330 (Microsoft Teams, CVSS: 8.8) og CVE-2023-36911, CVE-2023-36910 og CVE-2023-35385 (Microsoft Message Queuing – CVSS: 9.8).

Tripwire, som leverer forskellige løsninger inden for it-sikkerhed, har lavet en fin formidling af, hvilke produkter der er omfattet af Patch Tuesday og hvor mange sårbarheder, inkl. CVE-numre, der er patchet til hvert produkt. Hvis man ønsker et hurtigt overblik, er det en godt sted at starte, ligesom man kan gå til hovedkilden selv, Microsofts update-guide. Af Tripwires side fremgår det, at det, der pt. er under aktiv udnyttelse, er ASP .NET. Det er et web-framework, som kan anvendes til at bygge hjemmesider og applikationer ved hjælp af HTML, CSS og JavaScrip.

En mere journalistisk tilgang til Patch Tuesday, hvor fokus er på de produkter, der forventeligt er mest udbredt og de sårbarheder, der er mest alvorlige, kan ses i de øvrige medier.