Microsoft's Patch Tuesday-trein denderde Windows-netwerken binnen met fixes voor 51 gedocumenteerde beveiligingsproblemen, sommige ernstig genoeg om volledige computerovernameaanvallen te veroorzaken.
Naast de 51 CVE's die met de geplande release van deze maand zijn verholpen, heeft Redmond ook ongeveer 20 verschillende beveiligingsfouten in zijn Microsoft Edge (Chromium-gebaseerde) webbrowser gepatcht.
Volgens gegevens van het Microsoft Security Response Center (MSRC) worden er geen in-the-wild zero-days aangepakt met de updates van februari. Er bestaat echter een proof-of-concept code voor een bug met misbruik van bevoegdheden (CVE-2022-21989) in de Windows-kernel.
“Een succesvolle aanval kan worden uitgevoerd vanuit een AppContainer met een laag privilege. De aanvaller kan zijn privileges verhogen en code uitvoeren of toegang krijgen tot bronnen op een hoger integriteitsniveau dan dat van de AppContainer-uitvoeringsomgeving”, waarschuwde Microsoft in een advies. De kernelbug wordt als "belangrijk" beoordeeld met een CVSS-score van 7.8.
De lijst met kwetsbaarheden van deze maand is van invloed op een breed scala aan Windows-producten en -componenten, waaronder problemen met het uitvoeren van externe code in de Windows DNS Server, Windows Hyper-V, Microsoft SharePoint, HEVC Video Extensions, Microsoft Dynamics 365 en Microsoft Office.
Microsoft bood ook dekking voor een beveiligingslek in Office voor Mac, waardoor misbruik via het voorbeeldvenster mogelijk wordt gemaakt om gevoelige gebruikersgegevens bloot te leggen.
Afzonderlijk, Adobe heeft patches uitgebracht voor meer dan een dozijn beveiligingsproblemen in zijn Illustrator-, Photoshop-, After Effects-, Creative Cloud- en Premiere Rush-softwareprogramma's.
Adobe zei dat het niet op de hoogte was van aanvallen die misbruik maakten van deze kwetsbaarheden.
Zie ook: Microsoft vraagt aandacht voor 'wormbare' Windows-fout
Zie ook: Adobe sluit zich aan bij beveiligingspatch Tuesday Frenzy
Zie ook: Microsoft Patch Tuesday: Windows-fout onder actieve aanval
Ryan Naraine is hoofdredacteur bij SecurityWeek en gastheer van de populaire Beveiligingsgesprekken podcast-serie. Hij is een journalist en cyberbeveiligingsstrateeg met meer dan 20 jaar ervaring op het gebied van IT-beveiliging en technologische trends.
Ryan heeft beveiligingsprogramma's opgezet bij grote internationale merken, waaronder Intel Corp., Bishop Fox en Kaspersky GReAT. Hij is mede-oprichter van Threatpost en de wereldwijde SAS-conferentiereeks. Ryans carrière als journalist omvat onder meer artikelen bij grote technologiepublicaties, waaronder Ziff Davis eWEEK, CBS Interactive's ZDNet, PCMag en PC World.
Ryan is directeur van de non-profitorganisatie Security Tinkerers en spreekt regelmatig op beveiligingsconferenties over de hele wereld.
Volg Ryan op Twitter @ryanaraine.
Tags:
