De laatste Patch Tuesday van het jaar is een drukke geweest voor Microsoft. Maar liefst 71 kwetsbaarheden worden gedicht, waarvan één in Windows die actief wordt uitgebuit.
De eerste dinsdag van de maand is het traditioneel Patch Tuesday bij Microsoft. De ontwikkelaars van de softwarereus zijn in de laatste editie van 2024 nog vol aan de bak moeten gaan. In één klap slaat Microsoft 21 CVE-vliegen, verspreid over Windows, Office en Azure.
Zestien kwetsbaarheden krijgen het label ‘kritiek’, de overige op een enkele na worden als ‘hoog risico’ aangeduid. De volledige lijst is hier te vinden.
Windows onder vuur
Van de 71 kwetsbaarheden zat het overgrote deel, 59 om precies te zijn, verspreid in Windows 11, Windows 10 en ondersteunde versies van Windows Server. De kwetsbaarheid CVE-2024-49138 krijgt extra aandacht. Deze mag dan niet als kritiek zijn aangeduid, het is de enige kwetsbaarheid die volgens Microsoft actief wordt uitgebuit.
De kwetsbaarheid is het gevolg van een bufferoverloop in het stuurprogramma van het gedeelde protocolbestandssysteem en kan ervoor zorgen dat een aanvaller systeemautorisatie. In combinatie met één van de vele remote code execution-kwetsbaarheden (RCE), zou de aanvaller grote schade kunnen aanrichten. Het is aan te raden de Windows-beveiligingsupdate uit te rollen van zodra die beschikbaar is voor je apparaat.
Acht kwetsbaarheden zijn gedicht voor Office-applicaties, waarvan drie mogelijk kritieke RCE-kwetsbaarheden in Excel, Access en Outlook. De Outlook-kwetsbaarheid zou misbruik maken van een preview voor bestandsbijlagen. Microsoft benadrukt dat aanvallers geen toegang tot gebruiksgegevens hebben via deze kwetsbaarheid, maar er wel voor kunnen zorgen dat jij er zelf ook niet aan kan.
lees ook
Microsoft verplicht migratie nieuwe Outlook vanaf januari (maar terugkeren kan nog)
Geen recordjaar
Na deze laatste Patch Tuesday komt het totaal aantal gepatchte kwetsbaarheid in Microsoft-toepassingen op 1.020. Dat is net geen record voor Microsoft. In het jaar 2020 moest Microsoft 1.250 keer ingrijpen. 2024 zal wel in de geschiedenisboeken ingaan als een jaar dat veel updatemiserie bracht voor Microsoft, met de Windows 11 24H2-update als pijnlijke kroniek.