Patch dinsdag Microsoft heeft 90 fouten in zijn producten bekendgemaakt, waarvan er zes al zijn uitgebuit, en vier andere die als publiekelijk bekend worden vermeld.

Er staan ​​nog een dozijn in de lijst van externe leveranciers die nu zijn opgenomen in de maandelijkse update van Microsoft. Fijne August Patch Tuesday, mensen.

Van de 102 bugs die deze maand in totaal zijn opgesomd, zijn er negen als kritisch beoordeeld. Maar tot nu toe lijkt geen van deze bugs door de slechteriken te zijn gevonden en misbruikt.

Laten we beginnen met de zes bugs die actief worden uitgebuit:

CVE-2024-38189 – een Microsoft Project Remote Code Execution Vulnerability met een 8.8 CVSS-classificatie. Het slechte nieuws is dat het een RCE is en dat er misbruik van werd gemaakt voordat er een oplossing werd uitgebracht.

Het goede nieuws is dat voor exploitatie een aantal beveiligingsfuncties moeten worden uitgeschakeld voordat een aanvaller op afstand code kan uitvoeren op de machine van een slachtoffer. Ervan uitgaande dat een crimineel een systeem kan vinden dat macro’s uitvoert die van internet zijn gedownload, En heeft ook de blokkering van macro’s in Office-bestanden vanuit het internetbeleid uitgeschakeld, En overtuigt een slachtoffer om een ​​kwaadaardig bestand te openen, is het game over. Het is duidelijk dat iemand erin is geslaagd om door die hoepels te navigeren, hoewel we geen details hebben over de exploitatie of hoe wijdverspreid het is.

CVE-2024-38178 – een kwetsbaarheid voor geheugencorruptie in de scripting engine die een CVSS van 7,5 heeft gekregen. Microsoft zegt dat de complexiteit van de aanval hoog is en dat het slachtoffer Edge in de Internet Explorer-modus moet gebruiken. Blijkbaar zijn sommige organisaties en hun websites nog steeds erg gecharmeerd van deze dode webbrowser die Microsoft twee jaar geleden niet meer ondersteunde.

Zodra Edge in de Internet Explorer-modus staat, kan een aanvaller het slachtoffer overtuigen om op een speciaal gemaakte URL te klikken. Hij kan dan externe code op het apparaat van het slachtoffer uitvoeren.

Redmond is de dank verschuldigd aan het National Cyber ​​Security Center van Zuid-Korea en AhnLab voor het vinden en melden van deze kwetsbaarheid.

CVE-2024-38193 – een Windows Ancillary Function Driver voor WinSock Elevation of Privilege Vulnerability met een 7,8-classificatie. Deze zou een aanvaller in staat kunnen stellen om systeemprivileges te verkrijgen.

Zoals Dustin Childs van Zero Day Initiative opmerkte: “Dit soort bugs worden doorgaans gecombineerd met een code-uitvoeringsbug om een ​​doelwit over te nemen. Microsoft geeft geen enkele indicatie van hoe breed dit wordt uitgebuit, maar gezien de bron, als het nog niet in ransomware zit, zal het dat waarschijnlijk binnenkort wel zijn.”

Luigino Camastra en Milánek, bugjagers van Gen Digital, meldden het lek aan Redmond.

CVE-2024-38106 – een Windows Kernel Elevation of Privilege-kwetsbaarheid met een CVSS-classificatie van 7,0.

Om deze bug te exploiteren moet een aanvaller een raceconditie winnen, maar Redmond geeft geen details over wat die race inhoudt. Maar zodra dat gebeurt, kan de misdadiger systeemprivileges krijgen. Het is geëxploiteerd, dus binnenkort een patch.

CVE-2024-38107 – een Windows Power Dependency Coordinator Elevation of Privilege Vulnerability met een 7,8-classificatie. Het kan ook leiden tot systeemprivileges en is in het wild uitgebuit.

CVE-2024-38213 – een Windows Mark of the Web Security Feature Bypass Vulnerability die een CVSS-beoordeling van 6,5 heeft gekregen.

ZDI-onderzoeker Peter Girnus ontdekte en rapporteerde deze kwetsbaarheid, waarmee een aanvaller de SmartScreen-beveiligingsfunctie kan omzeilen. Het vereist echter wel dat het merkteken een kwaadaardig bestand opent.

Microsoft heeft vier kwetsbaarheden als openbaar gemaakt, hoewel ze nog niet zijn uitgebuit, dus zet deze misschien hoog op uw lijst met te patchen problemen:

• CVE-2024-38200 – een kwetsbaarheid voor Microsoft Office-spoofing met een CVSS-classificatie van 6,5.
• CVE-2024-38199 – een Windows Line Printer Daemon (LPD) Service RCE-kwetsbaarheid met een CVSS-classificatie van 9,8.
• CVE-2024-21302 – een beveiligingslek met betrekking tot misbruik van bevoegdheden in de beveiligde kernelmodus van Windows met een CVSS-classificatie van 6,7.
• CVE-2024-38202 – een Windows Update Stack Elevation of Privilege-kwetsbaarheid met een CVSS-classificatie van 7,3.

Adobe pakt 71 CVE’s aan

Adobe heeft deze maand 71 CVE’s opgelost in 11 updates voor de producten Illustrator, Dimension, Photoshop, InDesign, Acrobat en Reader, Bridge, Substance 3D Stager, Commerce, InCopy, 3D Sampler en Substance 3D Designer. Adobe stelt dat het niet op de hoogte is van exploits voor een van de nu opgeloste fouten.

Commerce is de meest buggied van de groep, met zeven kritieke kwetsbaarheden. InDesign heeft 13 CVE’s aangepakt en Acrobat en Reader hebben er 12 opgelost – beide met RCE’s.

SAP brengt 25 beveiligingspatches uit

SAP heeft deze maand 25 nieuwe of bijgewerkte beveiligingspatches uitgebracht, waaronder twee HotNews-notities en vier high-priority-notities. Thomas Fritsch, SAP Security Researcher bij Onapsis, zegt dat dit aantal bovengemiddeld is voor de softwaremaker.

Van de nieuwe HotNews-notities kreeg #3479478 (CVE-2024-41730) een CVSS-beoordeling van 9,8 en verhelpt een denial-of-service-kwetsbaarheid in het SAP BusinessObjects Business Intelligence Platform.

“Als Single Sign On Enterprise-authenticatie is ingeschakeld, kan een ongeautoriseerde gebruiker een logontoken krijgen met behulp van een REST-eindpunt,” waarschuwde Fritsch. “De aanvaller kan het systeem volledig compromitteren, wat resulteert in een grote impact op vertrouwelijkheid, integriteit en beschikbaarheid.”

43 extra pijnpunten voor Intel

Intel sloot zich deze maand aan bij de patchparty met maar liefst 43 beveiligingsadviezen die meerdere gaten in software en hardware dichten. Negen zijn beoordeeld als zeer ernstige fouten, dus laten we daar beginnen:

Intel Ethernet Controllers en Adapters lost CVE’s op die een escalatie van bevoegdheden of een denial-of-service mogelijk kunnen maken.

Bugs in sommige Intel NUC BIOS-firmware kunnen leiden tot hogere bevoegdheden, denial-of-service en openbaarmaking van informatie.

Kwetsbaarheden in de streamcachemechanismen van de Intel Core Ultra-processor en Intel-processor kunnen een escalatie van bevoegdheden mogelijk maken.

Fouten in de software van de Intel Trust Domain Extensions (Intel TDX)-module kunnen leiden tot een denial-of-service.

Een beveiligingslek in de SMI Transfer Monitor (STM) kan leiden tot een verhoging van bevoegdheden.

Fouten in sommige Intel Agilex FPGA-firmware en sommige Intel Server Board S2600ST Family-firmware kunnen een verhoging van bevoegdheden mogelijk maken.

Ten slotte zijn sommige Intel UEFI Integrator Tools op Aptio V voor Intel NUC kwetsbaar voor een escalatie van privilege-bug. ®