Sintesi
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 71 nuove vulnerabilità, di cui una di tipo 0-day.
Note (aggiornamento del 07/01/2025): un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-49113: apre un link esterno risulterebbe disponibile in rete.
Note (aggiornamento del 20/12/2024): dei Proof of Concept (PoC) per lo sfruttamento delle CVE-2024-49138: apre un link esterno e CVE-2024-49112: apre un link esterno risulterebbe disponibile in rete.
Note: la CVE-2024-49138: apre un link esterno risulta essere sfruttata attivamente in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: Critico (76.66)
Tipologia
- Elevation of Privilege
- Spoofing
- Remote Code Execution
- Denial of Service
- Defense in Depth
- Information Disclosure
Prodotti e versioni affette
- Microsoft Defender for Endpoint
- Microsoft Edge (Chromium-based)
- Microsoft Office
- Microsoft Office Access
- Microsoft Office Excel
- Microsoft Office Publisher
- Microsoft Office SharePoint
- Microsoft Office Word
- Remote Desktop Client
- Role: DNS Server
- Role: Windows Hyper-V
- System Center Operations Manager
- Windows Cloud Files Mini Filter Driver
- Windows Common Log File System Driver
- Windows File Explorer
- Windows IP Routing Management Snapin
- Windows Kernel
- Windows Kernel-Mode Drivers
- Windows LDAP – Lightweight Directory Access Protocol
- Windows Local Security Authority Subsystem Service (LSASS)
- Windows Message Queuing
- Windows Mobile Broadband
- Windows PrintWorkflowUserSvc
- Windows Remote Desktop
- Windows Remote Desktop Services
- Windows Resilient File System (ReFS)
- Windows Routing and Remote Access Service (RRAS)
- Windows Task Scheduler
- Windows Virtualization-Based Security (VBS) Enclave
- Windows Wireless Wide Area Network Service
- WmsRepair Service
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di procedere all’aggiornamento dei prodotti impattati attraverso l’apposita funzione di Windows Update.
Riferimenti
https://msrc.microsoft.com/update-guide/releaseNote/2024-Dec
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
