Sintesi
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 61 nuove vulnerabilità, di cui 3 di tipo 0-day.
Note (aggiornamento del 07/06/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-30043 risulta disponibile in rete.
Note: il vendor afferma che le CVE-2024-30040 e CVE-2024-30051 risultano sfruttate attivamente in rete.
Note: il vendor afferma che un PoC per lo sfruttamento delle CVE-2024-30046 e CVE-2024-30051 risulta disponibile in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (77,94/100)1.
Tipologia
- Information Disclosure
- Tampering
- Security Feature Bypass
- Remote Code Execution
- Elevation of Privilege
- Denial of Service
- Spoofing
Prodotti e versioni affette
- .NET and Visual Studio
- Azure Migrate
- Microsoft Bing
- Microsoft Brokering File System
- Microsoft Dynamics 365 Customer Insights
- Microsoft Edge (Chromium-based)
- Microsoft Intune
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows SCSI Class System File
- Microsoft Windows Search Component
- Power BI
- Visual Studio
- Windows Cloud Files Mini Filter Driver
- Windows CNG Key Isolation Service
- Windows Common Log File System Driver
- Windows Cryptographic Services
- Windows Deployment Services
- Windows DHCP Server
- Windows DWM Core Library
- Windows Hyper-V
- Windows Kernel
- Windows Mark of the Web (MOTW)
- Windows Mobile Broadband
- Windows MSHTML Platform
- Windows NTFS
- Windows Remote Access Connection Manager
- Windows Routing and Remote Access Service (RRAS)
- Windows Task Scheduler
- Windows Win32K – GRFX
- Windows Win32K – ICOMP
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di procedere all’aggiornamento dei prodotti impattati attraverso l’apposita funzione di Windows Update.
Identificatori univoci vulnerabilità
Riferimenti
https://msrc.microsoft.com/update-guide/releaseNote/2024-May
https://msrc.microsoft.com/update-guide (NB: filtro: patch tuesday – May 2024)
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
