Květnový patch řeší pět aktivně zneužívaných a dvě veřejně zveřejněné zranitelnosti. Upozornění: všech pět zranitelností typu zero-day bylo vyřešeno nasazením aktualizace operačního systému Windows. Tento měsíc také aktualizace Windows 11 a Server 2025 obsahují některé nové funkce umělé inteligence, ale s sebou nesou spoustu zátěže. Doslova – mají kolem 4 GB! Mezi nové funkce umělé inteligence patří Recall, Click to Do a vylepšené vyhledávání ve Windows.
Společnost Microsoft tento měsíc vyřešila celkem 72 nových zranitelností CVE, z nichž šest je hodnoceno jako kritické. Pět zranitelností typu zero-day je hodnoceno jako důležité, ale s použitím modelu hodnocení upraveného o riziko by všechny byly hodnoceny jako kritické.
Microsoft a řešení zranitelností
Společnost Microsoft vyřešila zranitelnost umožňující zvýšení oprávnění v ovladači pomocných funkcí systému Windows pro systém WinSock (CVE-2025-32709), která mohla útočníkovi umožnit lokálně zvýšit oprávnění a získat tak oprávnění správce. Tato zranitelnost se týká systému Windows Server 2012 a novějších verzí operačního systému. Bylo potvrzeno, že je tato zranitelnost zneužívána v reálném čase. Závažnost zranitelnosti je společností Microsoft hodnocena jako důležitá a má hodnocení CVSS 3.1 z 7.8. Stanovení priorit na základě rizik opravňuje k tomu, aby byla tato zranitelnost považována za kritickou.
Společnost Microsoft vyřešila dvě zranitelnosti umožňující zvýšení oprávnění v jednotce Common Log File System systému Windows (CVE-2025-32706 a CVE-2025-32701), které mohly útočníkovi umožnit lokálně zvýšit oprávnění a získat tak systémová oprávnění. Tyto zranitelnosti postihují všechny verze operačního systému Windows. Bylo potvrzeno, že tyto zranitelnosti jsou zneužívány v reálném prostředí. Hodnocení závažnosti obou CVE od společnosti Microsoft je Důležité a CVSS 3.1 z 7.8. Stanovení priorit na základě rizik zaručuje, že tyto zranitelnosti jsou považovány za kritické.
Společnost Microsoft vyřešila zranitelnost umožňující zvýšení oprávnění v knihovně Microsoft DWM Core Library (CVE-2025-30400), která mohla útočníkovi umožnit lokálně zvýšit oprávnění a získat tak systémová oprávnění. Tato zranitelnost se týká systémů Windows 10, Server 2016 a novějších verzí operačních systémů. Bylo potvrzeno, že je tato zranitelnost zneužívána v reálném prostředí. Závažnost zranitelnosti je společností Microsoft hodnocena jako důležitá a má hodnocení CVSS 3.1 z 7.8. Stanovení priorit na základě rizik opravňuje k tomu, aby byla tato zranitelnost považována za kritickou.
Společnost Microsoft vyřešila zranitelnost umožňující poškození paměti v nástroji Microsoft Scripting Engine (CVE-2025-30397), která mohla neoprávněnému útočníkovi umožnit spuštění kódu v síti. Tato zranitelnost se týká všech verzí operačního systému Windows. Bylo potvrzeno, že je tato zranitelnost zneužívána v reálném čase. Závažnost zranitelnosti je společností Microsoft hodnocena jako důležitá a má hodnocení CVSS 3.1 z 7.8. Stanovení priorit na základě rizik opravňuje k tomu, aby byla tato zranitelnost považována za kritickou.
Veřejně zveřejněné zranitelnosti společnosti Microsoft
Společnost Microsoft vyřešila zranitelnost umožňující vzdálené spuštění kódu v aplikaci Visual Studio (CVE-2025-30397), která mohla neoprávněnému útočníkovi umožnit lokální spuštění kódu. Tato zranitelnost se týká Visual Studia 2019 a 2022. Zranitelnost byla veřejně zveřejněna, ale vyspělost kódu byla nastavena na hodnotu Neprokázáno a posouzení zneužitelné zranitelnosti je méně pravděpodobné.
Společnost Microsoft vyřešila zranitelnost umožňující falšování identity v programu Microsoft Defender (CVE-2025-26685), která mohla neoprávněnému útočníkovi umožnit falšování identity v sousední síti. Tato zranitelnost se týká programu Microsoft Defender for Identity. Zranitelnost byla veřejně zveřejněna, ale vyspělost kódu byla nastavena na hodnotu Neprokázáno a posouzení zneužitelné schopnosti je méně pravděpodobné.
Zranitelnosti třetích stran
- Společnost Adobe tento měsíc vydala 13 aktualizací, které řeší 39 chyb CVE, z nichž 33 je kritických. Další podrobnosti naleznete v článku Nejnovější aktualizace zabezpečení produktů Adobe.
- Očekává se, že Google Chrome brzy vydá týdenní aktualizaci, takže sledujte novinky.
Bezpečnostní poradenství Ivanti
Společnost Ivanti vydala pro květnové Patch čtyři aktualizace, které řeší celkem čtyři chyby CVE a jednu chybu CWE. Mezi postižené produkty patří Ivanti Neurons for ITSM (pouze on-premise), Ivanti ICS, Ivanti Neurons for MDM a Ivanti EPMM.
Aktualizace Ivanti EPMM řeší střední a vysokou CVE, která v případě řetězení může vést k neověřenému vzdálenému spuštění kódu. Společnost Ivanti si je v době zveřejnění vědoma velmi omezeného počtu zákazníků, jejichž řešení bylo zneužito.
Více informací naleznete v aktualizacích a informacích uvedených v květnové aktualizaci zabezpečení na blogu Ivanti a v dokumentu EPMM Security Update.
Může aktualizovat priority
- Operační systém Windows je tento měsíc vaší nejvyšší prioritou, přičemž bylo hlášeno pět zero-day exploitů (CVE).
- Zákazníci Ivanti EPMM by měli co nejdříve použít jednu z možností zmírnění rizik nebo aktualizovat.
Pro více informací o produktech společnosti Ivanti, nás neváhejte kontaktovat.
Zdroj: Ivanti
