Patch Tuesday, May 2024 Edition

14.05.2024 23:19

Krebs on Security

Microsoft today released updates to fix more than 60 security holes in Windows computers and supported software, including two “zero-day” vulnerabilities in Windows that are already being exploited in active attacks. There are also important security patches available for macOS and Adobe users, and for the Chrome Web browser, which just patched its own zero-day flaw.

First, the zero-days. CVE-2024-30051 is an “elevation of privilege” bug in a core Windows library. Satnam Narang at Tenable said this flaw is being used as part of post-compromise activity to elevate privileges as a local attacker.

“CVE-2024-30051 is used to gain initial access into a target environment and requires the use of social engineering tactics via email, social media or instant messaging to convince a target to open a specially crafted document file,” Narang said. “Once exploited, the attacker can bypass OLE mitigations in Microsoft 365 and Microsoft Office, which are security features designed to protect end users from malicious files.”

CVE-2024-30040 is a security feature bypass in MSHTML, a component that is deeply tied to the default Web browser on Windows systems. Microsoft’s advisory on this flaw is fairly sparse, but Kevin Breen from Immersive Labs said this vulnerability also affects Office 365 and Microsoft Office applications.

“Very little information is provided and the short description is painfully obtuse,” Breen said of Microsoft’s advisory on CVE-2024-30040.

Meanwhile, Kaspersky Lab, one of two companies credited with reporting exploitation of CVE-2024-30040 to Microsoft, has published a fascinating writeup on how they discovered the exploit in a file shared with Virustotal.com.

Kaspersky said it has since seen the exploit used together with QakBot and other malware. Emerging in 2007 as a banking trojan, QakBot (a.k.a. Qbot and Pinkslipbot) has morphed into an advanced malware strain now used by multiple cybercriminal groups to prepare newly compromised networks for ransomware infestations.

The only vulnerability fixed this month that earned Microsoft’s most-dire “critical” rating is CVE-2024-30044, a flaw in Sharepoint that Microsoft said is likely to be exploited. Tenable’s Narang notes that exploitation of this bug requires an attacker to be authenticated to a vulnerable SharePoint Server with Site Owner permissions (or higher) first and to take additional steps in order to exploit this flaw, which makes this flaw less likely to be widely exploited as most attackers follow the path of least resistance.

Five days ago, Google released a security update for Chrome that fixes a zero-day in the popular browser. Chrome usually auto-downloads any available updates, but it still may require a complete restart of the browser to install them. If you use Chrome and see a “Relaunch to update” message in the upper right corner of the browser, it’s time to restart.

Apple has just shipped macOS Sonoma 14.5 update, which includes nearly two dozen security patches. To ensure your Mac is up-to-date, go to System Settings, General tab, then Software Update and follow any prompts.

Finally, Adobe has critical security patches available for a range of products, including Acrobat, Reader, Illustrator, Adobe Substance 3D Painter, Adobe Aero, Adobe Animate and Adobe Framemaker.

Regardless of whether you use a Mac or Windows system (or something else), it’s always a good idea to backup your data and or system before applying any security updates. For a closer look at the individual fixes released by Microsoft today, check out the complete list over at the SANS Internet Storm Center. Anyone in charge of maintaining Windows systems in an enterprise environment should keep an eye on askwoody.com, which usually has the scoop on any wonky Windows patches.

Moscow.media

Частные объявления сегодня

Добавить объявление

Красноярск

Продажа и покупка квартир

Тверь

Услуги Эвакуатора 24 7 Срочная подача

Новосибирск

Leatt наколенники Airflex Pro

Москва

Плиты перекрытия, дорожные и аэродромные плиты купить в Москве

Rss.plus

Все новости за 24 часа

Ru24.pro

Филиал № 4 ОСФР по Москве и Московской области информирует: Более 12 тысяч жителей Москвы и Московской области получают повышенную пенсию за работу в сельском хозяйстве

АНДРЕЙ БЕЛОУСОВ И "СВЯТОЙ ЛЕНИН" ОТКЛЮЧАЮТ НАСТОЯЩИХ ПИРАТОВ?!

Вебкам-студия MONTANA в Санкт-Петербурге

«Я ВАС СПРАШИВАЮ, КТО ВЕРБОВАЛ ВАЗ, ЗЕЛЕНСКОГО?!» Записки Мессии по технике безопасности.

Life24.pro

Главный врач клиники "Мегастом", стоматолог Владимир Лосев: в каком возрасте оптимально устанавливать брекеты

«Какими средствами контрацепции пользуется ваша жена?» – спросил американский турист у таджика, шокировав группу: названы дикие случаи поведения американцев за границей

Moschino menswear SS-2025 (весна-лето 2025)

Продолжая добрые традиции: отель Yalta Intourist подарил праздник воспитанникам подшефного центра

Today24.pro

Rashan Gary Showed No Concern When Asked About Caleb Williams

Meet Slovenia’s gorgeous Wags, from a mummy blogger and influencer to a professional tennis star

Commentator’s curse strikes immediately as LIV golf hothead Tyrrell Hatton swears live on TV after losing it at the WIND

‘I’ll have to talk to my agent’ says Harry Kane as England star offered transfer from Bayern during press conference

News24.pro

Армяне – герои СВО. Группой бойца чеченского спецназа «Ахмат» Давида Петросяна с позывным «Карабах» посажены около 1000 дронов-камикадзе. ВИДЕО

В центр Кронштадта из центра Петербурга и Петергофа теперь можно добраться на метеорах

"Болотный перфекционизм"

Терминал сбора данных (ТСД) промышленного класса SAOTRON RT42G

Game24.pro

Dustborn let me smash fascists and flirt with my situationship on a road trip across America

There is an early power up in Elden Ring: Shadow of the Erdtree that basically turns the game into Sekiro, but the description is so vague I didn't realize how good it was until 40 hours later

Прохождение элитного подземелья «Лесной алтарь» в Tarisland

'Maybe this new Stardew Valley-like game is pretty good' I said to myself after blearily noticing I'd played it until 2 in the morning

Ua24.pro

Робота водієм у Таксі 571 (Київ)

Russia24.pro

Экологи «Россети Центр» и «Россети Центр и Приволжье» показали высокий профессионализм на Всероссийском конкурсе

Суд приговорил реставратора объектов Московского Кремля к 4 годам колонии

Нижний Новгород вошёл в топ древних славянских городов для отдыха

Как выбрать лучший строительный субподряд

Другие проекты от SMI24.net

News-life

«Объединяем Россию!». Как столица отметит День молодёжи

Глава «Уральских заводов» поставил импортные радиостанции в рамках госконтракта

Цена знания. Сколько стоит обучение в ведущих столичных и региональных вузах

Филиал № 4 ОСФР по Москве и Московской области информирует: В Московском регионе более 62 тысяч семей распорядились материнским капиталом через банки

Ru24.net

«Объединяем Россию!». Как столица отметит День молодёжи

Красноярский край вошел в пятерку регионов России с высоким экономическим потенциалом

В Госдуме предложили лишать водительских прав за незаконный знак "Инвалид"

Родион Газманов рассказал о планах завершить карьеру из-за политической деятельности

News.tennis

«Недальновидное решение». На «Беларусь 1» раскритиковали отказ Арины Соболенко от Олимпиады

Уроженка Тамбова Арина Родионова вышла во второй круг квалификации Уимблдона

Российские теннисисты подпишут декларацию о нейтралитете для участия в Уимблдоне

Анна Калинская впервые вошла в топ‑20 рейтинга WTA

29ru.net

Красноярский край вошел в пятерку регионов России с высоким экономическим потенциалом

"Авиасейлс": на июль больше всего подешевели перелеты в Ташкент и Пхукет

В МИД Чехии осудили решение России о встречных ограничениях для СМИ

Жителей Дзержинского приглашают на «День молодежи»

Музыкальные новости

Poisk-music.ru

Агент Щенникова ответил на вопрос о переходе защитника в "СКА-Ростов" Басты

Валюты ищут равновесие // Юань и рубль балансируют между торговлей и бюджетом

Deep Purple — The Well Dressed Guitar

Память Виктора Цоя почтили в Пскове в день его рождения

Ria.city

Суд приговорил реставратора объектов Московского Кремля к 4 годам колонии

Преимущества карты строек жилых и промышленных объектов в России

Нижний Новгород вошёл в топ древних славянских городов для отдыха

Экологи «Россети Центр» и «Россети Центр и Приволжье» показали высокий профессионализм на Всероссийском конкурсе

Rss.plus

Что МОК, то и сделал. Фетисов рассказал, когда Россия вернётся на Игры

Сбить спесь с Израиля. Россия приняла ХАМАС в Москве.

Организованных тургруп из Новосибирска в Крыму нет

Академия Готового Арендного Бизнеса — больше чем просто обучение

Auto.russia24.pro

Автошкола в ВАО Москва посоветуйте

Три грузовика столкнулись на Киевском шоссе

Легковой автомобиль загорелся на Калужком шоссе

Проверенная автошкола в Москве

Putin.russia24.pro

"Хинди Руси бхай бхай": Россия и Индия готовят Западу "большой привет"

Ушаков: Заявление Путина и Ким Чен Ына указывают на плотную координацию

Россия получит доступ к военным базам и аэродромам Индии, что создаст угрозу США

Президент Конго прибыл на встречу с Путиным

Covid.russia24.pro

Около 1,3 тысячи случаев заражения COVID-19 выявили в столице за неделю

Около 1,3 тыс. случаев коронавируса выявили в Москве за неделю

Health.russia24.pro

Диетолог Елисеева: клетчатка борется со вздутием живота и сонливостью

Корпоративные активности: нужны ли и как влияют на коллектив

Ледяная ловушка: доктор Кутушов рассказал про опасность мороженого в жаркую погоду

Порядка 177 человек после лечения ботулизма выписали из больниц в Москве

Zelensky.russia24.pro

Захарова назвала заявление Киева о Крыме как военной цели «калькой с нацистской концепции»

"Начинка — нацизм": Захарова вскрыла истинную суть Киева после слов приспешника Зеленского о Крыме

Sport.russia24.pro

Инвестор построит физкультурно-оздоровительный комплекс в Северном Медведкове

СберСтрахование жизни выступила партнёром международной олимпиады по страхованию

Легенда вне времени Жанна Агузарова и легенда поп-музыки Жанна Фриске:самое интересное с Премии МУЗ-ТВ 2024

«Объединяем Россию!». Как столица отметит День молодёжи

Lukashenko.russia24.pro

«Все решено»: Лукашенко поблагодарил Лаврова за важное для Белоруссии решение

Белорусские рабочие будут строить АЭС в России

Белоруссия планирует наращивать товарооборот с Ленобластью

Китай может построить в Минске еще один знаковый объект

Person.russian.city

Собянин: Город одобрил гранты для столичных компаний более чем на 1 млрд рублей

Собянин оценил объем поддержки создателей импортозамещающей продукции

Собянин: «Активные граждане» выберут лучшие проекты в области строительства

В новостройку по реновации на улице Красных Зорь переезжают 320 семей — Собянин

Ecology.russia24.pro

Экологи «Россети Центр» и «Россети Центр и Приволжье» показали высокий профессионализм на Всероссийском конкурсе

Арт-суббота пройдет 29 июня в экоцентре "Яуза" в Москве

Горожанам расскажут о правилах использования земель в границах особо охраняемых природных территорий

Эксперт Ганьшин: вместе с температурой в Москве растет и количество осадков

29ru.net

Родион Газманов рассказал о планах завершить карьеру из-за политической деятельности

Новую детскую площадку открыли в Мытищах на проспекте Астрахова

"Авиасейлс": на июль больше всего подешевели перелеты в Ташкент и Пхукет

Жителей Дзержинского приглашают на «День молодежи»

Severodvinsk.ws

Семейный пикник «Родные - любимые» пройдет в Поморье в третий раз

Архангельская область присоединилась к акции «Единый арктический субботник-2024»

"Авиасейлс": на июль больше всего подешевели перелеты в Ставрополь и Архангельск

Спортсмены из Архангельской области взяли серебро и бронзу на чемпионате России по пулевой стрельбе

Sevpoisk.ru

Семья из Симферополя отправилась в колонию за мошенничество

В Симферополе предупредили об антитеррористических учениях

Агент СБУ засел в МВД Крыма: Источник сообщил о поимке майора-шпиона

Под Симферополем насмерть сбили женщину, переходившую дорогу перед автобусом

103news.com

Рябков считает, что риски столкновения ядерных держав повышаются

Умер заслуженный тренер СССР Виталий Ерфилов

25-летняя российская модель Кафельникова стала звездой модного шоу в Париже

Еще 8 объектов электроснабжения установят в Химках в этом году

Агрегатор новостей 24СМИ