Microsoft je objavio najveći “sekundarni” paket zakrpa za svoj softver

· Redakcija

Microsoft je objavio najveći “sekundarni” paket zakrpa za svoj softver

Microsoft je posljednjih dana objavio najveći “sekundarni” paket zakrpa za svoj softver. Ovo je izdanje sa 159 ispravljenih ranjivosti u sustavima Windows, Office, Edge i drugim aplikacijama i uslugama, što je gotovo dvostruko više od uobičajenog broja zakrpa. Prema Microsoftu, tri od ovih ranjivosti već se iskorištavaju “u divljini”, a još pet je prethodno bilo javno poznato.

Microsoft je tradicionalno pružao ograničene informacije o slabim točkama za samoanalizu u Vodiču za sigurnosno ažuriranje. Poznato je da se većina popravaka, 132 ranjivosti, odnosi na različite verzije Windows OS-a koje podržava Microsoft (Windows 10, Windows 11 i Windows Server). Prema tvrtki, tri fiksne sigurnosne ranjivosti sustava Windows aktivno se iskorištavaju. Ranjivosti Hyper-V s identifikatorima CVE-2025-21333, CVE-2025-21334 i CVE-2025-21335 omogućuju registriranim napadačima izvršavanje koda s povišenim privilegijama gosta. Informacije o opsegu korištenja ovih eksploatacija nisu objavljene.

Microsoft klasificira osam ranjivosti sustava Windows kao kritične. Na primjer, ranjivost CVE-2025-21298 u sustavu Windows OLE (CVSS 9.8) može se iskoristiti putem posebno izrađene e-pošte ako je otvorena u programu Outlook. Omogućen pregled privitaka može dovesti do umetanja i izvršavanja zlonamjernog koda.

Ranjivosti CVE-2025-21297 i CVE-2025-21309 (CVSS 8.1) u uslugama udaljene radne površine poslužitelja napadači mogu koristiti za daljinski napad bez potrebe za prijavom korisnika.

Također smo ispravili 28 sličnih ranjivosti daljinskog izvršavanja koda (RCE, CVSS 8.8) u usluzi Windows telefonije. Te su ranjivosti klasificirane kao visokorizični, ali nema dokaza da su ih napadači iskoristili.

Microsoft je popravio 20 ranjivosti u Office proizvodima. Među njima su RCE ranjivosti u Wordu, Excelu, Outlooku, OneNoteu, Visiu i SharePoint Serveru. Tri RCE ranjivosti u programu Access klasificirane su kao ranjivosti nultog dana. Paket ažuriranja uključuje i sigurnosnu zakrpu za preglednik Microsoft Edge – verzija 131.0.2903.146 (10. siječnja) temeljena na Chromiumu 131.0.6778.265. Međutim, detaljna dokumentacija za ovo ažuriranje još nije dostupna. Vjerojatno su popravci slični onima koje je Google napravio u najnovijoj verziji Chromea, koja popravlja brojne ranjivosti visokog rizika.

Microsoft je još jednom pozvao korisnike zastarjelih verzija sustava Windows 7 i 8.1 da nadograde na Windows 10 ili Windows 11 kako bi nastavili primati sigurnosna ažuriranja. Sljedeći redovni Patch Tuesday zakazan je za 11. veljače 2025.

DRUGE NOVOSTI