Microsofts månatliga säkerhetsuppdateringar för februari 2024
Microsoft släpper i samband med den månatliga patchtisdagen säkerhetsuppdateringar som åtgärdar totalt 80 sårbarheter. Fem bedöms som kritiska och två av dessa utnyttjas aktivt [1].
En av de sårbarheterna som utnyttjas aktivt (CVE-2024-21412) är en så kallad “Internet Shortcut Files Security Feature Bypass” och betyder att en icke autentiserad angripare kan med en specialutformad fil ta sig förbi säkerhetsfunktioner. Det krävs dock att användaren övertygas att agera genom att klicka på en fillänk. Sårbarheten har fått CVSS-klassificering 8.1.
Den andra sårbarheten som utnyttjas aktivt (CVE-2024-21351) är i säkerhetsfunktionen för Windows SmartScreen. Det innebär att en angripare kan injisera och potentiellt exekvera godtycklig kod, vilket kan leda till dataläckage och bristande tillgänglighet till systemet.
De kritiska sårbarheterna, som båda har fått CVSS-klassificering 9.8, påverkar Microsoft Exchange Server (CVE-2024-21410) respektive Microsoft Outlook (CVE-2024-21413). Se Microsoft råd för mer information [1].
Påverkade produkter
För en fullständig lista av alla produkter som lagas, se Microsoft [1].
Rekommendationer
CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna.
Källor
[1] https://portal.msrc.microsoft.com/en-us/security-guidance