Dny předcházející zářijovému patch uplynuly od chaosu kvůli dvojici aktivně zneužívaných CVE pro Android (CVE-2025-38352, CVE-2025-48543), zero-day útoku ve WhatsAppu (CVE-2025-55177), dalšímu zero-day útoku ve WinRARu (CVE-2025-8088) a rozsáhlému útoku na dodavatelský řetězec prostřednictvím Drift AI Chat Agent, který odhalil data zákazníků Salesforce.
Dobrou zprávou je, že Microsoft má tento měsíc z celkem 81 vyřešených CVE pouze dvě veřejně zveřejněné zranitelnosti (CVE-2025-55234, CVE-2024-21907), což je zhruba to nejbližší klidná aktualizace, v jaké můžeme doufat.
Aktualizace operačního systému Windows a Office jsou tento měsíc označeny jako kritické, což je řadí mezi nejvyšší prioritu. Vzhledem k tomu, že se neobjevily žádné zero-day exploity, měl by se tento měsíc z pohledu Microsoftu zaměřit na běžnou údržbu.
Veřejně zveřejněné zranitelnosti společnosti Microsoft
Společnost Microsoft vyřešila zranitelnost typu „elevation of Privilege“ (CVE-2025-55234) v protokolu Windows SMB, o které potvrdila, že je veřejně zveřejněna. Společnost Microsoft hodnotí tuto zranitelnost CVE jako důležitou, má skóre 8,8 v testu CVSS v3.1 a ovlivňuje všechny edice operačního systému Windows. Vyspělost kódu není prokázána, což by naznačovalo, že nebyly zveřejněny žádné vzorky kódu. Metodologie prioritizace založená na riziku by opodstatňovala, že se s touto zranitelností bude zacházet jako s důležitou.
Společnost Microsoft vyřešila zranitelnost typu „Nesprávné zpracování výjimečných podmínek“ v souboru Newtonsoft.Json (CVE-2024-21907), která byla veřejně zveřejněna. Tato zranitelnost CVE není hodnocena a ovlivňuje SQL Server 2016, 2017 a 2019. V závislosti na použití knihovny může neověřený a vzdálený útočník způsobit stav odmítnutí služby. Metodologie prioritizace založená na riziku by ospravedlnila považovat tuto zranitelnost za důležitou.
Zranitelnosti třetích stran
Společnost Adobe vydala devět aktualizací, které řeší 22 chyb CVE, z nichž 12 je označeno jako kritické. Mezi dotčené produkty patří Adobe Acrobat Reader, After Effects, Premiere Pro, Commerce, Substance 3D Viewer, Experience Manager, Dreamweaver, 3D Substance Modeler a ColdFusion. Společnost Adobe ohodnotila aktualizaci ColdFusion jako prioritu jedna a Commerce jako prioritu dva. Zbývajících sedm aktualizací má prioritu tři.
Bezpečnostní upozornění Ivanti
Společnost Ivanti vydala pro září dvě aktualizace, které opravují celkem 13 chyb CVE. Mezi postižené produkty patří Ivanti Connect Secure and Policy Secure a Ivanti EPM.
Další podrobnosti naleznete v aktualizacích a informacích uvedených v zářijové aktualizaci zabezpečení na blogu Ivanti.
Priority aktualizace v září
Vzhledem k tomu, že v úterý po vydání Patch nebyly vydány žádné zero-day aktualizace, představují aktualizace z tohoto měsíce převážně nízké riziko. Ujistěte se, že máte připraveny zero-day aktualizace před aktualizací a naplánujte si nasazení aktualizací Microsoft a Adobe v rámci pravidelné údržby v tomto měsíci.
Pro další informace o produktech Ivanti, nás neváhejte kontaktovat.
Zdroj: Ivanti
