Microsoft je popravio četiri sigurnosne greške koje su uticale na njegovu vještačku inteligenciju (AI), cloud, enterprise resource planning (ERP) i ponude Partnerskog centra, uključujući i onu za koju je rekao da je eksploatisan u wild.
Ranjivost koja je označena procjenom “Otkrivena eksploatacija” je CVE-2024-49035 (CVSS rezultat: 8,7), nedostatak eskalacije privilegija na partner.microsoft[.]com.
“Neispravna ranjivost kontrole pristupa na partner.microsoft[.]com omogućava neautorizovanom napadaču da podigne privilegije nad mrežom”, rekao je tehnološki gigant u savjetu objavljenom ove sedmice.
Microsoft je zaslužan za prijavu greške Gautamu Periju, Apoorvu Wadhwa i anonimnom istraživaču, ali nije otkrio nikakve detalje o tome kako se ona iskorištava u napadima u stvarnom svijetu.
Ispravke za nedostatke se automatski uvode kao dio ažuriranja online verzije Microsoft Power Apps. Redmond se pozabavio i sa tri druge ranjivosti, od kojih su dvije ocijenjene kao kritične, a jedna ocijenjena kao važna po ozbiljnosti –
- CVE-2024-49038 (CVSS rezultat: 9,3) – Ranjivost skriptiranja na više lokacija (XSS) u Copilot Studiju koja bi mogla omogućiti neovlaštenom napadaču da eskalira privilegije preko mreže
- CVE-2024-49052 (CVSS rezultat: 8,2) – Nedostaje autentifikacija za kritičnu funkciju u Microsoft Azure PolicyWatch koja bi mogla omogućiti neovlaštenom napadaču da eskalira privilegije preko mreže
- CVE-2024-49053 (CVSS rezultat: 7,6) – Ranjivost lažiranja u Microsoft Dynamics 365 Sales koja bi mogla dozvoliti autentificiranom napadaču da prevari korisnika da klikne na posebno kreirani URL i potencijalno preusmjeri žrtvu na zlonamjernu stranicu
Iako je većina ranjivosti već u potpunosti ublažena i ne zahtijeva nikakvu radnju korisnika, savjetuje se ažuriranje Dynamics 365 Sales aplikacija za Android i iOS na najnoviju verziju (3.24104.15) kako bi se zaštitili od CVE-2024-49053.
Izvor:The Hacker News