Před květnovým opravným patchem máme dvojici zero-day zranitelností v Google Chrome a Microsoft Edge a také zero-day v macOS. Microsoft do své aktualizace zahrnul i dvojici zero-day zranitelností a přidal tak celkem 61 vyřešených CVE. Mozilla a Adobe přidávají řadu aktualizací od třetích stran.
Aktualizace Microsoft Patch
Společnost Microsoft vyřešila chybu zabezpečení týkající se zvýšení úrovně oprávnění v knihovně Windows DWM Core Library (CVE-2024-30051), u které bylo potvrzeno, že byla zneužita. Útočník, který zneužije tuto chybu zabezpečení, by mohl získat oprávnění SYSTEM v postiženém systému. Tato chyba zabezpečení se týká operačního systému Windows a je hodnocena společností Microsoft jako důležitá se skóre CVSS 3.1 7,8. Vzhledem k odhalení známých exploitů by prioritní přístup založený na riziku dal aktualizaci operačního systému tento měsíc jako nejvyšší prioritu.
Společnost Microsoft vyřešila chybu zabezpečení vynechání funkce zabezpečení v systému Windows MSHTML (CVE-2024-30040), u které bylo potvrzeno, že byla zneužita. Útočník by mohl obejít omezení OLE v Microsoft 365 a Microsoft Office a zacílit na uživatele prostřednictvím e-mailu nebo rychlé zprávy a zneužít tuto chybu zabezpečení. Tato chyba zabezpečení se týká operačního systému Windows a je hodnocena společností Microsoft jako důležitá se skóre CVSS 3.1 8,8. Vzhledem k odhalení známých exploitů by prioritní přístup založený na riziku dal aktualizaci operačního systému tento měsíc jako nejvyšší prioritu.
Aktualizace oprav třetích stran
Google vyřešil dvojici zero-day zranitelností, které ovlivňují jak Google Chrome, tak Microsoft Edge. 9. května Google vyřešil CVE-2024-4671, který byl vydán v aktualizaci Microsoft Edge 10. května. V pondělí 13. května Google vyřešil CVE-2024-4761 a aktuální aktualizace Microsoft Edge řeší dvojici zero-day. Pro Google Chrome a Microsoft Edge (Chromium) je tato dvojice letos zatím šest nultých dnů. Vydání také znamená šest vydání prohlížeče Google Chrome od dubnového opravného patche.
Mozilla Firefox a Firefox ESR byly aktualizovány pro květnové opravné vydání, což znamená, že všechny vaše hlavní prohlížeče potřebují tento měsíc aktualizaci, která vyřeší 16 CVE. Firefox měl od dubnového opravného patche tři vydání.
Společnost Adobe vydala aktualizace pro Acrobat Reader, které řeší 12 CVES, z nichž devět je kritických. Byly také vydány aktualizace pro Illustrator, Substance 3D, Aero, Animate, FrameMaker a Dreamweaver.
Prioritní pokyny
- Aktualizujte všechny prohlížeče co nejdříve. Dvojice zero-day v Chrome a Edge a 16 CVE ve Firefoxu znamenají, že tím rychle vyřešíte spoustu rizik.
- Operační systém Windows má v aktualizaci May Patch dvě zranitelnosti zero-day a tento měsíc by měl mít vysokou prioritu.
- macOS vyřešil zranitelnost zero-day ve vydání z 13. května 2024, takže se ujistěte, že aktualizace macOS budou mít tento měsíc vysokou prioritu.
Zdroj: Ivanti