Microsoft AI, Cloud és ERP frissítés
A Microsoft 2024. novemberi biztonsági frissítései négy jelentős sebezhetőséget orvosoltak mesterséges intelligencia (AI), felhőszolgáltatások és vállalati erőforrás-tervezési (ERP) rendszerek területén, amelyek közül az egyiket aktívan kihasználták.
CVE-2024-49035 (CVSS pontszám: 8,7): Ez a jogosultságkiterjesztési hiba a partner.microsoft.com oldalon található, és lehetővé teszi, hogy egy hitelesítetlen támadó hálózaton keresztül jogosultságokat szerezzen. A Microsoft megerősítette, hogy ezt a sebezhetőséget aktívan kihasználták.
CVE-2024-49038 (CVSS pontszám: 9,3): Egy cross-site scripting (XSS) sebezhetőség a Copilot Studio-ban, amely lehetővé teszi egy jogosulatlan támadó számára, hogy hálózaton keresztül jogosultságokat szerezzen.
CVE-2024-49052 (CVSS pontszám: 8,2): Egy kritikus funkció hitelesítésének hiánya a Microsoft Azure PolicyWatch-ban, amely lehetővé teszi egy jogosulatlan támadó számára, hogy hálózaton keresztül jogosultságokat szerezzen.
CVE-2024-49053 (CVSS pontszám: 7,6): Egy spoofing sebezhetőség a Microsoft Dynamics 365 Sales-ben, amely lehetővé teszi egy hitelesített támadó számára, hogy egy speciálisan kialakított URL-re kattintva megtévessze a felhasználót, és potenciálisan egy rosszindulatú oldalra irányítsa át.