[JustisCERT-varsel] Microsoft og Adobe-sårbarheter for september 2020

Microsoft har publisert sine månedlige sikkerhetsoppdateringer. Det er totalt 129, hvor 23 av dem er vurdert som kritisk. Flere av sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere/systemer. JustisCERT anbefaler alle som benytter Microsoft Exchange Server 2016 og 2019 [1] å prioritere patching av disse. CVE-2020-16875 Microsoft Exchange Memory Corruption Vulnerability beskriver en kritisk sårbarhet i Exchange hvor en angriper kan utføre kode med SYSTEM-privilegier ved å sende en e-post utformet på en bestemt måte til den sårbare Exchange-serveren. Andre Exchange-sårbarheter som CVE-2020-0688 har blitt utnyttet aktivt i angrep den siste tiden og vi forventer at det kun er snakk om kort tid før også CVE-2020-16875 utnyttes.

Adobe har publisert sikkerhetsoppdateringer som retter feil i flere av sine produkter.

Se Microsoft [2] og Adobe [3] sine nettsider for flere detaljer om sårbarhetene.

Berørte produkter er blant annet:

• Microsoft Windows
• Microsoft Edge (EdgeHTML)
• Microsoft Edge (Chromium)
• Microsoft ChakraCore
• Internet Explorer
• SQL Server
• Microsoft JET Database Engine
• Microsoft Office
• Microsoft Office Services og Web Apps
• Microsoft Dynamics
• Visual Studio
• Microsoft Exchange Server
• SQL Server
• ASP.NET
• Microsoft OneDrive
• Azure DevOps

• Adobe InDesign
• Adobe Framemaker
• Adobe Experience Manager

Anbefalinger:

• Patch alle Exchange-servere
• Patch alle andre berørte systemer
• Prioriter systemer som kan nås fra internett først

Kilder:
[1] https://support.microsoft.com/nb-no/help/4577352/security-update-for-exchange-server-2019-and-2016
[2] https://portal.msrc.microsoft.com/en-us/security-guidance
[3] https://helpx.adobe.com/security.html