Kuvaus: Luokitus: Kriittinen, Ratkaisu: Virallinen korjaus, Hyväksikäytön kypsyys: Määrittelemätön, CVSSv3.1: 8.8, CVE:t: CVE-2024-26238, CVE-2024-29994, CVE-2024-29996, CVE-2024-29997, CVE-2024-29998, CVE-2024-29999, CVE-2024-30000, CVE-2024-30001, CVE-2024-30002, CVE-2024-30003, CVE-2024-30004, CVE-2024-30005, CVE-2024-30006, CVE-2024-30007, CVE-2024-30008, CVE-2024-30009, CVE-2024-30010, CVE-2024-30011, CVE-2024-30012, CVE-2024-30014 (+48 muuta liittyvää CVE:tä), Yhteenveto: Tänään on Microsoftin toukokuun 2024 Patch Tuesday, joka sisältää tietoturvapäivityksiä 61 virheelle ja kolme aktiivisesti hyväksikäytettyä tai julkisesti paljastettua nollapäivähaavoittuvuutta. Tämän Patch Tuesdayn ainoa kriittinen haavoittuvuus on Microsoft SharePoint Serverin etäkoodin suorittamisen haavoittuvuus. Haavoittuvuuksien määrä kussakin kategoriassa on seuraava: 17 oikeuksien korottamisen haavoittuvuutta 2 tietoturvaominaisuuksien ohituksen haavoittuvuutta 27 etäkoodin suorittamisen haavoittuvuutta 7 tietojen paljastamisen haavoittuvuutta 3 palvelunestohaavoittuvuutta 4 väärentämisen haavoittuvuutta Yhteensä 61 virhettä ei sisällä kahta Microsoft Edge -virhettä, jotka korjattiin 2. toukokuuta ja neljää, jotka korjattiin 10. toukokuuta. Tämän päivän päivityksissä aktiivisesti hyväksikäytetyt nollapäivähaavoittuvuudet ovat: CVE-2024-30040 – Windows MSHTML Platform Security Feature Bypass -haavoittuvuus Microsoft on korjannut aktiivisesti hyväksikäytetyn OLE-rajoitusten ohituksen, joka lisättiin Microsoft 365:een ja Microsoft Officeen käyttäjien suojaamiseksi haavoittuvilta COM/OLE-ohjauksilta. CVE-2024-30051 – Windows DWM Core Library -oikeuksien korottamisen haavoittuvuus Microsoft on korjannut aktiivisesti hyväksikäytetyn Windows DWM Core Library -virheen, joka tarjoaa SYSTEM-oikeudet. Lyhyt raportti Kasperskyltä kertoo, että äskettäiset Qakbot-haittaohjelman kalasteluhyökkäykset käyttivät haitallisia asiakirjoja hyväksi hyödyntääkseen virhettä ja saadakseen SYSTEM-oikeudet Windows-laitteissa
https://msrc.microsoft.com/update-guide/releaseNote/2024-May
