Microsofts månatliga säkerhetsuppdateringar för januari 2025

Microsoft har släppt sina månatliga säkerhetsuppdateringar för januari. Totalt rättas 159 sårbarheter. [1] Microsoft uppger att tre av dem utnyttjas aktivt. Det rör sig om CVE-2025-21333, CVE-2025-21334 och CVE-2025-21335. Samtliga dessa ligger i Windows Hyper-V NT Kernel Integration VSP och har en CVSS-klassning på 7.8. Ett lyckat utnyttjande ger angriparen SYSTEM-rättigheter. Dessa tre har även lagts till i CISA Known Exploited Vulnerabilities Catalog (KEV). [2]

Microsoft lyfter även en sårbarhet i Windows OLE (CVE-2025-21298), där sannolikheten för expolatering är hög. Ett utnyttjande möjliggör att fjärrköra skadlig kod. CVSS-klassningen är satt till 9.8. Bristen kan utnyttjas genom att skicka ett mejl som öppnas eller förhandsgranskas i Microsoft Outlook. [3]

Påverkade produkter

Se Microsofts säkerhetsråd för en fullständig förteckning av påverkad mjukvara [1].

Rekommendationer

CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna i enlighet med tillverkarens rekommendationer.

Källor

[1] https://msrc.microsoft.com/update-guide/releaseNote/2025-Jan

[2] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[3] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-21298