Souhrn aktualizací (oprav) pro měsíc září
Přinášíme Vám aktualizace od společností Microsoft, Adobe a Ivanti. Společnost Microsoft vydala aktualizace pro operační systém Windows, Office, Sharepoint, SQL Server a několik služeb a komponent Azure. Společnost Adobe vydala aktualizace pro několik produktů včetně Adobe Acrobat a Reader. Ivanti také vydala aktualizace pro tři produkty.
Z těchto verzí bude nejvyšší prioritou tohoto měsíce řešení zranitelností zero-day v OS Windows a Office.
Microsoft shrnutí
Microsoft tento měsíc vyřešil 79 unikátních CVE, včetně sedmi kritických CVE. V mixu jsou čtyři zero-day zranitelnosti ve Windows a Office. Jedna ze zranitelností zero-day byla také veřejně odhalena. Tento měsíc je také k dispozici aktualizace SQL, kterou je třeba sledovat a která obsahuje 13 CVE.
Dalším tématem, které probublává v mnoha organizacích, je konec životnosti Windows 10. Možná nám chybí rok a měsíc od konce konce října 2025, ale mnoho organizací si uvědomuje, že nadcházející konec konce bude představovat významnou událost, která bude vyžadovat odpovídající plánování a provedení. Možná budete muset posoudit, kolik systémů je připraveno na Windows 11 a naplánovat migraci na nejnovější větev Windows 11 24H2. V případech, kdy systémy nelze upgradovat, může být nutné, aby vaše organizace zvážila rozšířenou podporu, aby mohla pokračovat v podpoře i po datu ukončení platnosti. Další podrobnosti najdete v článku Microsoft Windows 10 ESU.
Zranitelnosti Microsoft zero-day
Microsoft vyřešil zero-day zranitelnost ve Windows Update, která by mohla umožnit vzdálené spuštění kódu (CVE-2024-43491). Tato chyba zabezpečení se týká Windows 10 1507 a 2015 edice LTSB. Všechny novější verze Windows 10 nejsou ovlivněny. CVE je hodnocen jako kritický a má CVSS v3.1 9.8. Tato chyba zabezpečení také vyžaduje použití nejnovější aktualizace servisního zásobníku, aby bylo možné plně řešit rizika.
Microsoft vyřešil zero-day zranitelnost v systému Windows Mark of the Web, která by mohla útočníkovi umožnit obejití funkce zabezpečení (CVE-2024-38217). Zranitelnost byla také veřejně odhalena. Tato chyba zabezpečení se týká systému Windows Server 2008 a novějších verzí systému Windows. Microsoft ohodnotil CVE jako důležitý; má CVSS v3.1 5.4, ale vzhledem k potvrzenému zneužití by tato chyba zabezpečení měla být tento měsíc považována za vysokou prioritu. Tato chyba zabezpečení umožňuje útočníkovi vytvořit škodlivý soubor, který by se vyhnul obraně Mark of the Web – což umožňuje obejít bezpečnostní funkce, jako je zabezpečení aplikací SmartScreen.
Společnost Microsoft vyřešila chybu zabezpečení zero-day v Instalační službě systému Windows, která by mohla umožnit zvýšení oprávnění (CVE-2024-38014). Tato chyba zabezpečení se týká systému Windows Server 2008 a novějších verzí systému Windows. Tato chyba zabezpečení je hodnocena jako důležitá a má CVSS v3.1 7.8. Útočník, který zneužije tuto chybu zabezpečení, by mohl získat oprávnění SYSTEM v postiženém systému.
Společnost Microsoft vyřešila zranitelnost nultého dne v aplikaci Microsoft Publisher, která by mohla útočníkovi umožnit obejití funkce zabezpečení (CVE-2024-38226). Tato chyba zabezpečení se týká Microsoft Office 2019 a 2021 a také Publisher 2016. Microsoft ohodnotil CVE jako důležitý s CVSS v3.1 7.3. Útočník by mohl zneužít tuto chybu zabezpečení k obejití zásad maker Office používaných k blokování nedůvěryhodných nebo škodlivých souborů.
Aktualizace třetích stran
Společnost Adobe vydala aktualizaci pro Adobe Acrobat a Reader, která řeší dvě CVE, z nichž obě jsou hodnoceny jako kritické (APSB24-70). Nejvyšší základní skóre CVSS je 8,6 a oba CVE by mohly umožnit spuštění libovolného kódu.
Vydání Ivanti Patch
Ivanti vydala tři aktualizace pro zářijové Patch. Dotčenými produkty jsou Ivanti Endpoint Manager, Ivanti Cloud Service Appliance a Ivanti Workspace Control. Tyto tři aktualizace řeší 23 CVE. Ivanti si v době zveřejnění není vědom žádných zneužití. Podrobnosti o těchto vydáních lze nalézt v blogu Ivanti zářijové aktualizace zabezpečení.
Priority aktualizací pro měsíc září
- Aktualizace operačního systému Windows mají tento měsíc nejvyšší prioritu a řeší alespoň dva potvrzené exploity v závislosti na edici Windows.
- Microsoft Office a Publisher jsou také vysokou prioritou, protože řeší jeden potvrzený zneužitý CVE.
Zdroj: Ivanti