Microsoft fixes five zero-day vulnerabilities and dozens of other flaws

11.09.2024 18:50

PC World

Yesterday was September 10, 2024, and you know what that means — it’s Patch Day, the second Tuesday of every month when Microsoft releases security updates for Windows.

This time, 79 security vulnerabilities have been addressed, with all but one categorized as “critical” or “high risk.” According to Microsoft, four of the vulnerabilities are already being exploited in the wild, so make sure you update as soon as you can.

Which Windows versions are affected?

The majority of the vulnerabilities — counting 67 in total — are spread across various Windows versions, including Windows 10, Windows 11, and Windows Server.

Windows 7 and 8.1 are no longer mentioned in the security reports, so they could still be vulnerable. Unless you have a very good reason, you should consider switching to Windows 10 (22H2) or Windows 11 (23H2) to continue receiving security updates. (Note that Windows 10 will stop being supported in 2025, so Windows 11 is the better choice.)

Get Windows 11 Pro for cheap

Windows 11 Pro

Price When Reviewed: 69,99 Euro

Best Prices Today: 49,99 € at PC-WELT Software-Shop – Windows 11 Home | 69,99 € at PC-WELT Software-Shop – Windows 11 Pro

Patch Day also includes updates for Windows 11 24H2, although the fall update is still in testing with Insiders and not yet publicly available.

That said, if you’re still running on Windows 11 22H2, you should really update to Windows 11 23H2 as soon as you can. Otherwise you run the risk of a forced update, which could be disruptive. (Windows 11 22H2 will receive its final security update on October 8, 2024.)

Zero-day Windows vulnerabilities patched

As mentioned, a few of the patched Windows security vulnerabilities are already being used in real-world attacks. (It’s disputed whether one of them, the spoofing issue CVE-2024-43461, is being actively exploited.)

Microsoft hasn’t offered many details on these zero-day vulnerabilities in the security update guide, but Dustin Childs touches on them in the Zero Day Initiative blog. Childs claims that an exploit of the spoofing issue has been discovered in the wild and was reported to Microsoft, but the vulnerability isn’t listed as under attack by Microsoft.

The most important security vulnerabilities on Patch Day in September 2024

CVE	vulnerable software	Severity	Impact	exploited	known in advance
CVE-2024-43491	Windows Update	critical	RCE		no
CVE-2024-38217	Windows Mark of the Web	high	SFB
CVE-2024-38014	Windows Installer	high	EoP		no
CVE-2024-38226	Office: Publisher	high	SFB		no
CVE-2024-43461	Windows MSHTML	high	Spoofing	controversial	no
CVE-2024-38119	Windows NAT	critical	RCE	no	no
CVE-2024-38018	SharePoint Server	critical	RCE	no	no
CVE-2024-43464	SharePoint Server	critical	RCE	no	no

*see text
RCE: Remote Code Execution
EoP: Elevation of Privilege
SFB: Security Feature Bypass

Regarding vulnerability CVE-2024-38217, Microsoft says the Security Feature Bypass vulnerability isn’t just being exploited but was publicly known in advance. This one affects the “Mark of the Web” (MotW) on downloaded files, making it possible to circumvent protections.

Regarding vulnerability CVE-2024-43491, it’s the only Remote Code Execution (RCE) issue among the four zero-days. This one only affects certain older versions of Windows 10 and can only be eliminated by first installing update KB5043936, then update KB5043083. Microsoft says newer versions of Windows 10 aren’t affected.

Regarding vulnerability CVE-2024-38014, this Elevation of Privilege (EoP) threat exists in the Windows Installer for all currently supported versions of Windows, including Server editions. An attacker who exploits this flaw can give themself system authorizations without user interaction. (The exact mechanism isn’t clear, but typically attackers combine EoP vulnerabilities with RCE vulnerabilities to remote run malicious code.)

Other critical Windows vulnerabilities

There are also several security vulnerabilities classified as critical, one of which affects Windows and is not yet under attack.

The RCE vulnerability CVE-2024-38119 affects Network Address Translation (NAT) and requires the attacker to be on the same network. This is because NAT is generally not routing-capable, meaning that it can’t be exploited across network boundaries.

Also, Windows Remote Desktop Services has seven vulnerabilities, including four RCE vulnerabilities. There’s another RCE vulnerability each in Microsoft Management Console (CVE-2024-38259) and Power Automate for desktop (CVE-2024-43479).

Microsoft Office vulnerabilities

In this patch, Microsoft eliminated 11 vulnerabilities in its Office products, including a zero-day vulnerability and two other vulnerabilities classified as critical.

The Security Feature Bypass vulnerability CVE-2024-38226 was discovered by an unknown person in Microsoft Publisher and exploited immediately. For this, an attacker has to convince a user to open a specially prepared file in Publisher. If successful, the macro guidelines in Office are bypassed and malicious code is executed.

Microsoft classifies two RCE vulnerabilities in SharePoint Server (CVE-2024-38018, CVE-2024-43464) as critical. However, another RCE vulnerability (CVE-2024-38227) in SharePoint Server and one in Visio (CVE-2024-43463) are only considered high risk.

SQL Server vulnerabilities

Microsoft eliminated 13 security vulnerabilities in SQL Server this month, with six of them being RCE vulnerabilities with CVSS scores of 8.8. Microsoft also closed three EoP vulnerabilities and four data leaks.

Web browser updates

The latest security update for Microsoft’s Edge browser is version 128.0.2739.63 from September 3, based on Chromium 128.0.6613.120. However, it doesn’t yet appear in the security update guide. (The release notes are also rather sparse and only appeared a week late.) The 128.0.2739.67 update to Edge on September 5 only fixes a few bugs.

However, Google released a new security update for Chrome on September 10, which fixes several vulnerabilities classified as high risk. Microsoft has yet to respond to this.

Moscow.media

Частные объявления сегодня

Rss.plus

Все новости за 24 часа

Ru24.pro

В подмосковной библиотеке сотрудники Росгвардии провели для ребят выставку уникальных экспонатов Великой Отечественной войны

Виды инсталляций для унитаза: какие бывают

Волонтеры «Норникеля» получили в Москве очередную награду

Заместитель управляющего Отделением Фонда пенсионного и социального страхования Российской Федерации по г. Москве и Московской области Алексей Путин: «Клиентоцентричность - наш приоритет»

Life24.pro

Продвижение Песни в Мою Волну.

Волонтеры «Норникеля» получили в Москве очередную награду

Госпожа удача

Необычные арт-объекты появились на улицах Москвы

Today24.pro

Shaitani Rasmein actress Sumit Singh shared a heartfelt message she'd love to give her younger self

Embezzlement trial poses 'significant threat' to Le Pen's 2027 presidential run

In closing arguments, lawyers in East Bay sibling’s murder trial cast divergent views of the case

Mike Tyson, 58, appears to make retirement U-turn hours after calling out Logan Paul following loss to brother Jake

News24.pro

Молчание воды...

В больнице пенсионер смертельно ранил другого пациента

«Грузовичкоф» принял участие в открытии Общественной приемной по вопросам логистики

Беспроводной сканер штрих-кодов SAOTRON P05i промышленного класса

Game24.pro

If you spend more time downloading Skyrim mods than actually playing them, 'Vanilla Plus' modding is the excuse you need to dive back in

Valve gets the original Half-Life 2 development team back together for a huge 20th anniversary update—and the game is now free for the weekend on Steam

A War Of A Madman's Making is a quietly brilliant, totally free political sim where you have to try to survive as a deranged dictator's henchman

Unreal Gold and Unreal Tournament are now free on the Internet Archive, and Epic says that's A-okay

Ua24.pro

Потрібні партнери в Україні та країнах СНД з експорту авто з Китаю

Russia24.pro

«Грузовичкоф» принял участие в открытии Общественной приемной по вопросам логистики

Заместитель управляющего Отделением Фонда пенсионного и социального страхования Российской Федерации по г. Москве и Московской области Алексей Путин: «Клиентоцентричность - наш приоритет»

«Грузовичкоф» принял участие в открытии Общественной приемной по вопросам логистики

Другие проекты от SMI24.net

News-life

Диетолог Соломатина: от бесконтрольного приема «Оземпика» ухудшается зрение

Виды инсталляций для унитаза: какие бывают

Французского бульдога спасли из горящей квартиры в Подмосковье

В ТМУ открыли лабораторию по разработке препаратов для лечения рака

Ru24.net

Не дал прикурить: как произошло нападение на экс-футболиста сборной РФ Евсеева

Россияне скупают Lada Largus: модель ворвалась в топ-5, опередив бестселлеры Chery Tiggo 7 Pro Max и Haval M6

Специалист клиники «Мегастом» Светлана Фролова: гингивит у детей - симптомы, профилактика и лечение

Ежегодный детский парафестиваль «Верь в себя» прошел в Ногинске

News.tennis

Касаткина остаётся в топ-10 рейтинга WTA, Шнайдер и Калинская сохранили позиции

Синнер вышел в финал Итогового турнира, Оливейра победил Чендлера в UFC. Главное к утру

Рублёв — о неудаче на Итоговом турнире: ничего сверхъестественного не было

Янник Синнер обошёл Алькараса на $ 7 млн по призовым за сезон, Медведев замкнул топ-5 ATP

29ru.net

Онколог в Солнечногорске вошел в топ-100 врачей Подмосковья

Отделение СФР по Москве и Московской области вручило 29 автомобилей пострадавшим на производстве

Испуганные жители Новой Москвы просят защитить их от велокурьеров-мигрантов

Кажетта Ахметжанова: почему опасно оставлять свои локоны в салонах красота

Музыкальные новости

Poisk-music.ru

Фронтмена Rammstein обязали выплатить 67 млн рублей за отмену концерта в Твери

Подарок от экс-мэра: София Ротару решила избавиться от квартиры в Москве

Красноярка зажгла на юбилее Игоря Крутого и накормила Филиппа Киркорова салом с огурцами

Мать кинокритика Антона Долина задерживали в московском аэропорту из-за таблеток от головной боли

Ria.city

«Грузовичкоф» принял участие в открытии Общественной приемной по вопросам логистики

Филиал № 4 ОСФР по Москве и Московской области напоминает: Социальный фонд проинформирует самозанятых о формировании пенсионных прав

Rss.plus

Сергей Собянин. Главное за день

Продвижение Песни в Мою Волну музыкального стриминга Яндекс Музыка.

«Ростех» выставит на продажу совхоз на Кубани

Пануччи: «Роналду очень тяжело опекать, но Березуцкий и Игнашевич очень хорошо сыграли тогда с Португалией»

Auto.russia24.pro

Отделение СФР по Москве и Московской области вручило 29 автомобилей пострадавшим на производстве

Сергей Собянин: Дополнительный участок МСД сделает поездки на юге Москвы быстрее

«Грузовичкоф» делится лучшими практиками на конференции «Грузоперевозки 2024»

В Москве отремонтируют 34 многоквартирных дома с арочными окнами

Putin.russia24.pro

Заместитель управляющего Отделением Фонда пенсионного и социального страхования Российской Федерации по г. Москве и Московской области Алексей Путин: «Клиентоцентричность - наш приоритет»

Лукашенко сообщил, предлагал ли Путин жить в одном государстве

Махинации на 175 миллиардов: дело молдавского политика Усатого передали в суд

Путин продлил полномочия ректоров МГУ и СПбГУ

Health.russia24.pro

Диетолог Соломатина: от бесконтрольного приема «Оземпика» ухудшается зрение

Ядовитые «трубы ангела» зацвели в «Аптекарском огороде» в Москве

Делегация от Псковской области приняла участие в Олимпиаде среди медицинских работников

Специалист клиники «Мегастом» Светлана Фролова: гингивит у детей - симптомы, профилактика и лечение

Zelensky.russia24.pro

Американское издание: Решение Вашингтона по ATACMS сделало Зеленского «ходячим

«Ракеты сами за себя скажут»: США разрешили Киеву удары вглубь РФ около трех дней назад — Axios

Sport.russia24.pro

Делегация от Псковской области приняла участие в Олимпиаде среди медицинских работников

Более 500 спортсменов приняли участие в турнире ко Дню самбо в Мытищах

Команда медработников из Самарской области прошла в финал олимпиады по оценке умений и навыков оказания экстренной медицинской помощи

Второй этап регионального чемпионата по настольному хоккею прошел в Реутове

Lukashenko.russia24.pro

Василий Анохин и его команда по приглашению белорусского президента работают в Минске

Губернатор Василий Анохин встретился с президентом РБ Александром Лукашенко

Лукашенко: РФ и Белоруссия справятся с любыми вызовами, главное держаться вместе

Лукашенко сообщил, предлагал ли Путин жить в одном государстве

Person.russian.city

Сергей Собянин рассказал о благоустройстве на западе Москвы

Собянин: в Павлово-Посадском городском округе силами ПВО сбит еще один БПЛА

Собянин сообщил, что столица заняла первое место по количеству музеев

Сергей Собянин: Возводим сложный участок трассы

Ecology.russia24.pro

Транссибирская магистраль. 14) Владивосток

Ростовская АЭС получила высокую оценку состояния безопасности Московского центра ВАО АЭС

Двадцать электробусов вышли на маршруты в двух округах Москвы

Красношейную поганку обнаружили в Строгинской пойме

29ru.net

Подмосковные студенты стали призерами конкурса "Большая перемена"

Отделение СФР по Москве и Московской области вручило 29 автомобилей пострадавшим на производстве

В Медвежьих Озерах прошла выездная администрация

Испуганные жители Новой Москвы просят защитить их от велокурьеров-мигрантов

Severodvinsk.ws

В Поморье проходит третий форум победителей конкурсов грантов губернатора Архангельской области

В Архангельске объявили о штормовом предупреждении с порывами ветра до 19 метров в секунду

Вкус победы: подведены итоги премии WHERETOEAT Northwest

Архивисты из разных регионов России собрались в Архангельске на научно-практическую конференцию

Sevpoisk.ru

Выставка-экспозиция "Вместе с книгой мы растем"

Выставка-гордость «И вечность возвестит, кто был Суворов»

Разыскиваемая за убийство внуков в 1999 году в Иркутске пенсионерка нашлась живой в Крыму

Домашний ужин или офисный обед — где заказать пиццу в Симферополе?

103news.com

В Москве приостановили работу школы из-за кишечной инфекции

Пименов: «С Сирией не получится сыграть так, как сыграли с Брунеем»

Ежегодный детский парафестиваль «Верь в себя» прошел в Ногинске

В ТМУ открыли лабораторию по разработке препаратов для лечения рака

Агрегатор новостей 24СМИ