In de maandelijkse Patch Tuesday lost Microsoft 66 lekken op.
Microsoft heeft zijn maandelijkse Patch Tuesday-update uitgebracht, met patches voor 66 beveiligingslekken. Daarbij zitten twee kwetsbaarheden die al actief zijn misbruikt, en tien kritieke lekken die zo snel mogelijk gepatcht moeten worden.
Zero-day in WebDAV
Een van de meest dringende kwetsbaarheden is CVE-2025-33053, die al sinds maart door het hackerscollectief Stealth Falcon wordt uitgebuit in aanvallen in het Midden-Oosten. Het gaat om een lek in de WebDAV-extensie, waarmee aanvallers via een link op afstand code kunnen uitvoeren. Microsoft brengt hiervoor zelfs patches uit voor verouderde systemen zoals Windows Server 2008 en Internet Explorer.
Ook CVE-2025-5419, een geheugenfout in de V8 JavaScript-engine van Chromium (en dus ook van Edge), wordt actief aangevallen. Google patchte dit lek al, Microsoft neemt die nu op in zijn eigen updatepakket.
Andere prioritaire patches
Een andere belangrijke patch is voor CVE-2025-33073, een lek in het Windows SMB-clientprotocol. Proof-of-concept-code is hiervoor al beschikbaar, maar er zijn nog geen meldingen van actieve aanvallen.
Daarnaast pakt Microsoft vier kritieke kwetsbaarheden aan in Office, waaronder drie bugs die via het Preview-venster misbruikt kunnen worden. Andere patches richten zich op SharePoint, Schannel, Remote Desktop Gateway, en het KDC Proxy Service.
Adobe en andere updates
Adobe Commerce staat deze maand bovenaan Adobe’s prioriteitenlijst, schrijft The Register. Updates zijn beschikbaar voor versies tot en met 2.4.8. Verder brengt Adobe grote updates uit voor Experience Manager (met 254 CVE’s), Acrobat (10 kwetsbaarheden), InDesign (9) en andere producten.
Ook Fortinet en SAP pakken belangrijke kwetsbaarheden aan in hun platformen. Het advies is zoals steeds hetzelfde: installeer de updates zo snel mogelijk.