Patch Tuesday, May 2025 Edition

14.05.2025 14:57

Krebs on Security

Microsoft on Tuesday released software updates to fix at least 70 vulnerabilities in Windows and related products, including five zero-day flaws that are already seeing active exploitation. Adding to the sense of urgency with this month’s patch batch from Redmond are fixes for two other weaknesses that now have public proof-of-concept exploits available.

Microsoft and several security firms have disclosed that attackers are exploiting a pair of bugs in the Windows Common Log File System (CLFS) driver that allow attackers to elevate their privileges on a vulnerable device. The Windows CLFS is a critical Windows component responsible for logging services, and is widely used by Windows system services and third-party applications for logging. Tracked as CVE-2025-32701 & CVE-2025-32706, these flaws are present in all supported versions of Windows 10 and 11, as well as their server versions.

Kev Breen, senior director of threat research at Immersive Labs, said privilege escalation bugs assume an attacker already has initial access to a compromised host, typically through a phishing attack or by using stolen credentials. But if that access already exists, Breen said, attackers can gain access to the much more powerful Windows SYSTEM account, which can disable security tooling or even gain domain administration level permissions using credential harvesting tools.

“The patch notes don’t provide technical details on how this is being exploited, and no Indicators of Compromise (IOCs) are shared, meaning the only mitigation security teams have is to apply these patches immediately,” he said. “The average time from public disclosure to exploitation at scale is less than five days, with threat actors, ransomware groups, and affiliates quick to leverage these vulnerabilities.”

Two other zero-days patched by Microsoft today also were elevation of privilege flaws: CVE-2025-32709, which concerns afd.sys, the Windows Ancillary Function Driver that enables Windows applications to connect to the Internet; and CVE-2025-30400, a weakness in the Desktop Window Manager (DWM) library for Windows. As Adam Barnett at Rapid7 notes, tomorrow marks the one-year anniversary of CVE-2024-30051, a previous zero-day elevation of privilege vulnerability in this same DWM component.

The fifth zero-day patched today is CVE-2025-30397, a flaw in the Microsoft Scripting Engine, a key component used by Internet Explorer and Internet Explorer mode in Microsoft Edge.

Chris Goettl at Ivanti points out that the Windows 11 and Server 2025 updates include some new AI features that carry a lot of baggage and weigh in at around 4 gigabytes. Said baggage includes new artificial intelligence (AI) capabilities, including the controversial Recall feature, which constantly takes screenshots of what users are doing on Windows CoPilot-enabled computers.

Microsoft went back to the drawing board on Recall after a fountain of negative feedback from security experts, who warned it would present an attractive target and a potential gold mine for attackers. Microsoft appears to have made some efforts to prevent Recall from scooping up sensitive financial information, but privacy and security concerns still linger. Former Microsoftie Kevin Beaumont has a good teardown on Microsoft’s updates to Recall.

In any case, windowslatest.com reports that Windows 11 version 24H2 shows up ready for downloads, even if you don’t want it.

“It will now show up for ‘download and install’ automatically if you go to Settings > Windows Update and click Check for updates, but only when your device does not have a compatibility hold,” the publication reported. “Even if you don’t check for updates, Windows 11 24H2 will automatically download at some point.”

Apple users likely have their own patching to do. On May 12 Apple released security updates to fix at least 30 vulnerabilities in iOS and iPadOS (the updated version is 18.5). TechCrunch writes that iOS 18.5 also expands emergency satellite capabilities to iPhone 13 owners for the first time (previously it was only available on iPhone 14 or later).

Apple also released updates for macOS Sequoia, macOS Sonoma, macOS Ventura, WatchOS, tvOS and visionOS. Apple said there is no indication of active exploitation for any of the vulnerabilities fixed this month.

As always, please back up your device and/or important data before attempting any updates. And please feel free to sound off in the comments if you run into any problems applying any of these fixes.

Moscow.media

Частные объявления сегодня

Rss.plus

Все новости за 24 часа

Life24.pro

Продажа песен. Песни на продажу. Продажа текстов песен.

Академия ДИАКОН провела сателлитный симпозиум в рамках 7-го Клинико-лабораторного форума в Санкт-Петербурге

Сотрудники Московского филиала успешно прошли аттестацию на знание инструкций по ремонту колесных пар

Самый вкусный фестиваль Сибири ждёт гостей Marins Park Hotel Новосибирск

Today24.pro

The unbearable obviousness of AI fitness summaries

‘That’s not true’: Dana White refutes Jon Jones’ claim he actually retired several months ago

Chelsea to sign new forward as £50m deal is agreed

Senate works through the night as GOP tries to cut deal that satisfies those who want more and less Medicaid cuts

News24.pro

CorpSoft24 улучшил внутреннюю ИТ-инфраструктуру

«Знай, люби, гордись, приумножай»: более 20 тысяч молодых людей собрались на площадках Общества «Знание» в День молодежи

Крупное ДТП на Орловщине: самосвал «собрал» еще три грузовика

Дело азербайджанцев призвали в Москву // Бастрыкин поручил расследование екатеринбургских убийств центральному аппарату

Game24.pro

No more dolphin swimming or flying in Rematch—in a bug fix, Sloclap very seriously explains why levitating soccer players aren't part of its vision for the game

Инструкция по запуску Grand Theft Auto V на Android

Facebook users say they've caught the app analyzing their camera roll with Meta AI⁠ without their knowledge—here's how to make sure it doesn't happen

Magic Chess: GO GO 1.1.94.1861

Russia24.pro

Аналитические данные «Цезарь Сателлит» за первые шесть месяцев 2025 года

Москва пережила самый холодный 1 июля за 63 года: всего 14,3 градуса тепла

Будут ли магнитные бури сегодня, 2 июля 2025 года?

В Санкт-Петербурге начнутся показы анимационного сериала «Голоса Ленинграда»

Другие проекты от SMI24.net

News-life

Аналитические данные «Цезарь Сателлит» за первые шесть месяцев 2025 года

Легких ног и крепкого здоровья: когда поможет врач-подолог

От Косово до СВО: десантник из Альметьевска рассказал о своем боевом пути

Возрождение традиционных ценностей и естественной красоты: в России стартовал конкурс красоты нового формата

Ru24.net

"Честный знак" выявил 500 тонн молочки и воды для школ и больниц с признаками фальсификата, сообщил оператор системы ЦРПТ

"Добро" Тимура Иванова: Элитная недвижка и пачки денег - судьба наворованного богатства решена

Спортсмены из Северной столицы везут золотые и бронзовые медали с первенства Европы

Осуждённый генерал Попов просит участвовать в апелляции лично

News.tennis

Медведев заявил, что вернется в топ-10 рейтинга ATP на харде

Алькарас пробился во второй раунд Уимблдона

Медведев выразил недовольство игрой соперника на Уимблдоне

Рублев и Хачанов вышли во второй круг Уимблдона

29ru.net

Представители Подмосковья стали победителями премии в области НХП «На родном»

На "Госуслугах" запущен новый финансовый инструмент: как будет работать социальный вклад?

В Тамбовской области намерены создать туркластер на базе дворянской усадьбы

АРМЕНИЯ. Рашид Исмаилов: МАГАТЭ нужно проверить данные о захоронении ядерных отходов в Армении

Музыкальные новости

Poisk-music.ru

Продажа песен. Песни на продажу. Продажа текстов песен.

Apple Music вернул карточки Shaman, Лепса и Гагариной в сервис

Концерты Басты и Агутина отменили в Азербайджане после рейдов на Урале

Более 20 тысяч зрителей и выступление Басты: как прошел первый VK Fest в Казани

Ria.city

Легких ног и крепкого здоровья: когда поможет врач-подолог

Москва пережила самый холодный 1 июля за 63 года: всего 14,3 градуса тепла

В Санкт-Петербурге начнутся показы анимационного сериала «Голоса Ленинграда»

Будут ли магнитные бури сегодня, 2 июля 2025 года?

Rss.plus

На 20% быстрее. Мэр Собянин дал старт обновлению поездов на «Ярославке»

Лавров: Запад не сможет нанести стратегическое поражение России

Песков: армяне в России с болью смотрят на последние события

Звезда НХЛ Малкин получил 140 штрафов на BMW в России

Auto.russia24.pro

Собянин: На дублере Калужского шоссе откроют движение в 2025 году

В Ростокине планируют проложить новый бульвар

Начали давить свидетелей: В Москве выходец с Кавказа разбил голову мужчине

Москвичей предупредили о дожде и сильном ветре 2 июля

Putin.russia24.pro

Калмыцкие просветители в борьбе за национальную премию «Знание»

Президент Путин проведет переговоры с главой Киргизии Садыром Жапаровым

Путин обозначил задачи по развитию отечественного мессенджера

Путин назначит встречу с временно исполняющим обязанности главы Тамбовской области во вторник

Health.russia24.pro

Орловчане завоевали золото и бронзу на соревнованиях по оказанию экстренной медицинской помощи

Будут ли магнитные бури сегодня, 2 июля 2025 года?

На территории городской больницы им. Савельевой в ЗАО открыли арт-объект

Легких ног и крепкого здоровья: когда поможет врач-подолог

Zelensky.russia24.pro

Американский журналист раскритиковал отказ Киева от президентских выборов

Выборы по спецзаказу: Киев сочиняет новые законы «под себя»

Sport.russia24.pro

Ансамбль Росгвардии выступил на открытии международного футбольного турнира в Москве

Спортсмен из Росгвардии стал победителем Международного турнира по самбо в Краснодаре

Военнослужащие и сотрудники Росгвардии обеспечили правопорядок на футбольном матче в Москве

Футбольный клуб ЦСКА обыграл белградский «Партизан» в матче Братского кубка

Lukashenko.russia24.pro

Лукашенко: минск делит славу Победы над фашистами с бывшими республиками СССР

Лукашенко: США обещали, что помилованные не будут критиковать Белоруссию

Лукашенко заявил, что не допустит давления США по вопросу заключенных

Лукашенко: на переговорах с Келлогом не было «игры в поддавки»

Person.russian.city

Сергей Собянин подписал закон о налоговой льготе для организаций, содержащих ООЗТ

Собянин вручил премии Москвы в сфере архитектуры и строительства

Собянин ввел штрафы за непредоставление данных о местоположении коммуникаций

Собянин: На дублере Калужского шоссе откроют движение в 2025 году

Ecology.russia24.pro

Кабмин поддержит проект о расширении контроля с помощью ИИ и автоматики в Москве

5 июля 2025 состоится ежегодный Московский ночной велофестиваль

Применение озона в обработке воды

Учёные из Петербурга научили микроводоросли производить топливо

29ru.net

Осуждённый генерал Попов просит участвовать в апелляции лично

Холодно? Погода спасла Россию от реальной беды. Вильфанд рассказал об опасном европейском тепле

Москва пережила самый холодный 1 июля за 63 года: всего 14,3 градуса тепла

Как Церковь, нарушая заповеди, в 1917 -1918 годах воевала на стороне белогвардейцев и Антанты

Severodvinsk.ws

Мощный рост тарифов ЖКХ в России: как изменятся цены на коммуналку с 1 июля

Группа Аквилон приступает к строительству нового жилого комплекса и физкультурно-оздоровительного комплекса с бассейном в центре Архангельска

Лесные пожарные из двух регионов РФ прилетели на помощь в Бурятию

В Архангельской области намерены создать региональный маркетплейс

Sevpoisk.ru

Миндальная аллея и гамаки: в Симферополе тестируют формулу счастливого соседства

Погода на 30 июня 2025 года в Крыму и Севастополе: воздух прогреется до 28 градусов

В заказнике "Кастель" выгорело 2,3 га особо охраняемой территории

Крымский мост после открытия движения: оперативная информация об очередях

103news.com

Герои России собрались на Поклонной горе в Москве в честь Дня ветеранов.

В Госдуме призвали жестко ответить на задержание россиян в Азербайджане

Холодно? Погода спасла Россию от реальной беды. Вильфанд рассказал об опасном европейском тепле

«13 лет колонии общего режима»: Московский городской суд вынес приговор в отношении экс-замминистра обороны Тимура Иванова

Агрегатор новостей 24СМИ