Af Eskil Sørensen, 13/09/23
Microsoft har i går på den traditionelle Patch Tuesday udgivet opdateringer til flere kritiske sårbarheder i deres egne produkter. Det skriver en række medier i dag.
Der er i alt udstedt CVE-numre til 59 sårbarheder. To er aktivt udnyttede 0-dagssårbarheder:
CVE-2023-36802 (CVSS 7,8) - Sårbarhed i Microsoft Streaming Service Proxy og CVE-2023-36761 (CVSS 6,2) - sårbarhed i Microsoft Word.
Derudover kan fremhæves nedenstående produkter, der alle har sårbarheder med en CVSS-score på over 8.
- Azure DevOps server (CVE-2023-33136) – CVSS: 8.8
- Microsoft Office SharePoint (CVE-2023-36764) – CVSS: 8.8
- Internet Connection Sharing Exchange Server (CVE-2023-38148) – CVSS: 8.8
- Microsoft Exchange Server (CVE-2023-36745, CVE-2023-36757, CVE-2023-36756, CVE-2023-36744 – CVSS-score: 8
Det anbefales at gennemgå listen over berørte produkter og implementere sikkerhedsopdateringerne. Alle produkter med opdateringer fremgår af Bleeping Computers omtale af sagen.
CVSS står for common vulnerability scoring system og er et udtryk for alvorlighedsgraden af en sårbarhed. Scoren går fra 1 til 10, hvor 10 er den højest mulige score.
Links:
https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2023-patch-tuesday-fixes-2-zero-days-59-flaws/
https://blog.talosintelligence.com/microsoft-patch-tuesday-for-september-2023/
https://www.tripwire.com/state-of-security/vert-threat-alert-september-2023-patch-tuesday-analysis
https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
https://www.helpnetsecurity.com/2023/09/12/microsoft-adobe-fix-zero-days-exploited-by-attackers-cve-2023-26369-cve-2023-36761-cve-2023-36802/
https://www.securityweek.com/zero-day-summer-microsoft-warns-of-fresh-new-software-exploits/
https://therecord.media/microsoft-adobe-bugs-cisa-kev-list
https://www.theregister.com/2023/09/12/september_2023_patch_tuesday/