Patch Tuesday, March 2024 Edition

12.03.2024 23:36

Krebs on Security

Apple and Microsoft recently released software updates to fix dozens of security holes in their operating systems. Microsoft today patched at least 60 vulnerabilities in its Windows OS. Meanwhile, Apple’s new macOS Sonoma addresses at least 68 security weaknesses, and its latest updates for iOS fixes two zero-day flaws.

Last week, Apple pushed out an urgent software update to its flagship iOS platform, warning that there were at least two zero-day exploits for vulnerabilities being used in the wild (CVE-2024-23225 and CVE-2024-23296). The security updates are available in iOS 17.4, iPadOS 17.4, and iOS 16.7.6.

Apple’s macOS Sonoma 14.4 Security Update addresses dozens of security issues. Jason Kitka, chief information security officer at Automox, said the vulnerabilities patched in this update often stem from memory safety issues, a concern that has led to a broader industry conversation about the adoption of memory-safe programming languages [full disclosure: Automox is an advertiser on this site].

On Feb. 26, 2024, the Biden administration issued a report that calls for greater adoption of memory-safe programming languages. On Mar. 4, 2024, Google published Secure by Design, which lays out the company’s perspective on memory safety risks.

Mercifully, there do not appear to be any zero-day threats hounding Windows users this month (at least not yet). Satnam Narang, senior staff research engineer at Tenable, notes that of the 60 CVEs in this month’s Patch Tuesday release, only six are considered “more likely to be exploited” according to Microsoft.

Those more likely to be exploited bugs are mostly “elevation of privilege vulnerabilities” including CVE-2024-26182 (Windows Kernel), CVE-2024-26170 (Windows Composite Image File System (CimFS), CVE-2024-21437 (Windows Graphics Component), and CVE-2024-21433 (Windows Print Spooler).

Narang highlighted CVE-2024-21390 as a particularly interesting vulnerability in this month’s Patch Tuesday release, which is an elevation of privilege flaw in Microsoft Authenticator, the software giant’s app for multi-factor authentication. Narang said a prerequisite for an attacker to exploit this flaw is to already have a presence on the device either through malware or a malicious application.

“If a victim has closed and re-opened the Microsoft Authenticator app, an attacker could obtain multi-factor authentication codes and modify or delete accounts from the app,” Narang said. “Having access to a target device is bad enough as they can monitor keystrokes, steal data and redirect users to phishing websites, but if the goal is to remain stealth, they could maintain this access and steal multi-factor authentication codes in order to login to sensitive accounts, steal data or hijack the accounts altogether by changing passwords and replacing the multi-factor authentication device, effectively locking the user out of their accounts.”

CVE-2024-21334 earned a CVSS (danger) score of 9.8 (1o is the worst), and it concerns a weakness in Open Management Infrastructure (OMI), a Linux-based cloud infrastructure in Microsoft Azure. Microsoft says attackers could connect to OMI instances over the Internet without authentication, and then send specially crafted data packets to gain remote code execution on the host device.

CVE-2024-21435 is a CVSS 8.8 vulnerability in Windows OLE, which acts as a kind of backbone for a great deal of communication between applications that people use every day on Windows, said Kevin Breen, senior director of threat research at Immersive Labs.

“With this vulnerability, there is an exploit that allows remote code execution, the attacker needs to trick a user into opening a document, this document will exploit the OLE engine to download a malicious DLL to gain code execution on the system,” Breen explained. “The attack complexity has been described as low meaning there is less of a barrier to entry for attackers.”

A full list of the vulnerabilities addressed by Microsoft this month is available at the SANS Internet Storm Center, which breaks down the updates by severity and urgency.

Finally, Adobe today issued security updates that fix dozens of security holes in a wide range of products, including Adobe Experience Manager, Adobe Premiere Pro, ColdFusion 2023 and 2021, Adobe Bridge, Lightroom, and Adobe Animate. Adobe said it is not aware of active exploitation against any of the flaws.

By the way, Adobe recently enrolled all of its Acrobat users into a “new generative AI feature” that scans the contents of your PDFs so that its new “AI Assistant” can “understand your questions and provide responses based on the content of your PDF file.” Adobe provides instructions on how to disable the AI features and opt out here.

Moscow.media

Частные объявления сегодня

Добавить объявление

Рыбное

Что делать с просроченной химией

Рыбное

Что делать с просроченной краской

Рыбное

Утилизация краски, химии по самым низким ценам

Волгоград

Атаг ищем дистрибьюторов

Rss.plus

Все новости за 24 часа

Ru24.pro

В Дубне сотрудники Росгвардии помогли утиному семейству перейти оживленную трассу

ЭКСПЕРТ АНАТОЛИЙ ГОЛОД ПРЕДЛАГАЕТ СЕНСАЦИОННО УЛУЧШИТЬ НАЛОГОВУЮ СФЕРУ!

Автопробег в честь Дня России прошел в Ленинском округе

Филиал № 4 ОСФР по Москве и Московской области информирует: Отделение СФР по Москве и Московской области выплатило единовременное пособие при передаче ребенка на воспитание в семью 474 семьям региона

Life24.pro

Попурри мелодий и дух патриотизма: военный оркестр в парке «Кузьминки» отметил День России

Proenza Schouler Pre-Fall 2024

Звезды оперной сцены представят I Международный фестиваль «Мир классического романса»!

Звуковые щетки для детей RL 035 Kids Pink от Revyline в онлайн-магазине Ирригатор.ру в Екатеринбурге

Today24.pro

McDonald's Grimace showed Mets fans what happens when something goes right this season

Vavada Casino: a Leader in the Online Gaming Industry

Virtual Luck: Exploring Vavada Casino

Scotland star SENT OFF after ‘worst tackle ever seen’ as they capitulate in Euro 2024 opener against Germany

News24.pro

Прогулка по Москве 1962 года

В Екатеринбурге начался второй этап опрессовок

Социальные и ESG-проекты ГПМ Радио названы лучшими в России

Любимый кроссовер Kia снова в России по привлекательным ценам. Они приятно удивят.

Game24.pro

Создатели Warframe упомянули Android-версию в интервью TouchArcade

По аниме и манге «Кайдзю № 8» выпустят PC и мобильную игру — Kaiju No. 8 THE GAME

Моя Говорящая Кошка 3.2

Age of Sail: Navy & Pirates 1.0.1.13

Ua24.pro

Монтаж димоходів та вентиляційних систем у Києві

Russia24.pro

Филиал № 4 ОСФР по Москве и Московской области информирует: С начала года более 4,7 тысячи жителей Московского региона оформили страховую пенсию в автоматическом режиме на портале госуслуг

ЭКСПЕРТ АНАТОЛИЙ ГОЛОД ПРЕДЛАГАЕТ СЕНСАЦИОННО УЛУЧШИТЬ НАЛОГОВУЮ СФЕРУ!

СЕНСАЦИОННЫЙ ДОКЛАД ПРО ДЕЛО СКРИПАЛЕЙ, САФРОНОВА, ГОЛУНОВА.

Галина Ржаксенская впервые стала участником ПМЭФ в Санкт-Петербурге

Другие проекты от SMI24.net

News-life

В Дубне сотрудники Росгвардии помогли утиному семейству перейти оживленную трассу

Подавляют голод: врачи назвали продукты, которые надолго насыщают организм

Филиал № 4 ОСФР по Москве и Московской области информирует: Отделение СФР по Москве и Московской области выплатило единовременное пособие при передаче ребенка на воспитание в семью 474 семьям региона

«Свадьбу в Обломовке» посетили более трёх тысяч ульяновцев и гостей региона

Ru24.net

Столичные росгвардейцы вернули родителям потерявшегося сына

Добыча природного газа на Сахалин-2 продлена до 2033 гг.

В Москве расскажут о порядке строительства капитальных объектов

Танцоры из Лобни победили на всероссийском конкурсе хореографии

News.tennis

«Надо чем-то жертвовать». Арина Соболенко отказалась ехать на Олимпиаду в Париже

Медведев и Сафиуллин сыграют в паре на турнире в Галле

Самсонова обыграла Александрову и вышла в финал турнира WTA в Хертогенбосхе

Теннисистка Самсонова вышла в финал турнира в Хертогенбосхе

29ru.net

Не понос и рвота. Эксперт рассказал о первых симптомах ботулизма

Танцоры из Лобни победили на всероссийском конкурсе хореографии

В Москве расскажут о порядке строительства капитальных объектов

В Ступине объявлен конкурс на выполнение работ по строительству котельной

Музыкальные новости

Poisk-music.ru

Джиган и Самойлова исполнили мечту «диско-бабушки» из Коми

Жаркое лето в Сочи: МOT, Джиган и Ольга Бузова выступят на сцене VИНОГРАD Pool Day&Night Club

Билан заявил, что согласен стать отцом ребенка от Лолиты Милявской

Про царя в голове: Гергиев привез в «Большой» «Ивана Сусанина»

Ria.city

Галина Ржаксенская впервые стала участником ПМЭФ в Санкт-Петербурге

Филиал № 4 ОСФР по Москве и Московской области информирует: Отделение СФР по Москве и Московской области выплатило единовременное пособие при передаче ребенка на воспитание в семью 474 семьям региона

ЭКСПЕРТ АНАТОЛИЙ ГОЛОД ПРЕДЛАГАЕТ СЕНСАЦИОННО УЛУЧШИТЬ НАЛОГОВУЮ СФЕРУ!

Филиал № 4 ОСФР по Москве и Московской области информирует: С начала года более 4,7 тысячи жителей Московского региона оформили страховую пенсию в автоматическом режиме на портале госуслуг

Rss.plus

Социальные и ESG-проекты ГПМ Радио названы лучшими в России

Российские компании придерживаются собственного подхода в ESG

Филипп Киркоров, Люся Чеботина, SHAMAN – 25 ярких звезд в Открытой студии «Авторадио» на «Премии МУЗ-ТВ 2024»

Владимир Путин, Дмитрий Медведев, Анатолий Голод: ПРИЗНАНИЕ НАТО НАДО ПРИМЕНЯТЬ!

Auto.russia24.pro

Сегодня в Москве ваххабиты устроили резню

В Москве нашли «Москвич-412», который простоял в гараже с 1991 года

Источник 360.ru: на Каширском шоссе в Москве загорелся офис ГБУ «Жилищник»

В Московской области сотрудники Росгвардии задержали граждан, подозреваемых в совершении грабежа

Putin.russia24.pro

Максим Шевченко: в самостоятельность террористов, да ещё и внутри СИЗО, не поверю никогда

ЯНДЕКС, АЛЕКСАНДР ПУШКИН, АНАТОЛИЙ ГОЛОД И "СВЯТОЙ ЛЕНИН" ВЕДУТ СЛЕДСТВИЕ ВЕКА! ВАЖНЫЕ СЕРЬЁЗНЫЕ ДАННЫЕ.

СЕНСАЦИОННЫЙ ДОКЛАД ПРО ДЕЛО СКРИПАЛЕЙ, САФРОНОВА, ГОЛУНОВА.

ДОКЛАД ПРО ДЕЛО СКРИПАЛЕЙ, САФРОНОВА, ГОЛУНОВА. ПРО НАУКУ АКТИВНОЙ ВСЕЛЕННОЙ. ЭКСПЕРТ АНАТОЛИЙ ГОЛОД.

Covid.russia24.pro

Зачем Марина Александрова уехала из Москвы в сибирскую глушь

Health.russia24.pro

Эксперты назвали симптомы ботулизма и правила поведения при заражении

Врач-дерматолог Мадина Байрамукова: что делать с "мурашками» на коже

Врач Шарапова: ботулизмом могут быть заражены продукты домашнего консервирования

Московский аэропорт Домодедово и Всероссийское общество инвалидов заключили соглашение о сотрудничестве

Zelensky.russia24.pro

Трамп назвал Зеленского «величайшим торговцем» и пообещал разобраться с траншами Киеву

Sport.russia24.pro

Резидент «Инсайт Люди» Дмитрий Зубов установил мировой рекорд по чеканке мяча

Военно-спортивный фестиваль Росгвардии в «Лужниках» собрал более 20 000 москвичей и гостей столицы

Военно-спортивный фестиваль Росгвардии в «Лужниках» собрал более 20 000 Москвичей и гостей столицы

В Лужниках состоялась церемония открытия Всероссийской Спартакиады Специальной Олимпиады

Lukashenko.russia24.pro

Лукашенко обратился к Рамафосе

Person.russian.city

Собянин: Москва и Пекин подписали программу сотрудничества на 2024-2026 годы

Собянин обсудил с секретарем парткома Пекина планы по сотрудничеству двух столиц

Собянин прибыл в Китай с рабочим визитом

Сергей Собянин. Главное за день

Ecology.russia24.pro

Российские компании придерживаются собственного подхода в ESG

По каким признакам можно распознать машину-«утопленника»: лайфхак

Обмен электронными транспортными накладными стал доступен участникам «Биржи грузоперевозок ATI.SU»

Сергунина сообщила о запуске онлайн-проекта об истории цифровизации Москвы

29ru.net

В Ступине объявлен конкурс на выполнение работ по строительству котельной

«БОЛЬШАЯ ИГРА XXI ВЕКА»: Запасы редкоземов в Центральной Азии усиливают геополитическую конкуренцию между Китаем, Западом и Россией

В Москве расскажут о порядке строительства капитальных объектов

Певец Киркоров отказался от концертов на курортах в России из-за съемок в фильме

Severodvinsk.ws

Актера Игоря Меркулова похоронят на Николо-Архангельском кладбище

Более 39 млн рублей направлено на летний отдых и оздоровление детей-сирот в Архангельской области

Express: АПЛ «Архангельск» представляет большую угрозу инфраструктуре НАТО

Ниже воды: как идет обновление подводного флота России

Sevpoisk.ru

Аварийное отключение электроэнергии произошло почти в тридцати населенных пунктах Крыма

Футболисты ЮФУ одержали три победы в домашнем турнире

Фольклорно-литературная программа «Сказки детства, полные чудес, нас уводят в царство тридесятое»

В Симферополе пройдёт спектакль-акция «Подаренная жизнь»

103news.com

Здание ГБУ «Жилищник» загорелось на юге Москвы

В Ступине объявлен конкурс на выполнение работ по строительству котельной

«БОЛЬШАЯ ИГРА XXI ВЕКА»: Запасы редкоземов в Центральной Азии усиливают геополитическую конкуренцию между Китаем, Западом и Россией

Сергей Лёвкин: с начала реализации программы реновации в СВАО 75 домов приступили к расселению

Агрегатор новостей 24СМИ