Vier Sicherheitsmitteilungen hat Microsoft in der Nacht zum Mittwoch veröffentlicht. Es werden mit den Updates teils kritische Schwachstellen behandelt. Nutzer müssen einige der Updates selbst installieren, andere hat Microsoft auf Cloud-Diensten bereits selbst verteilt.

Microsofts Copilot Studio ist von einer der kritischen Sicherheitslücken betroffen (CVE-2024-49038, CVSS 9.3, Risiko "kritisch"). Eine unzureichende Filterung von Nutzereingaben während der Webseitenerstellung ist Ursache, Microsoft ordnet die Lücke unter Cross-Site-Scripting ein. Dadurch können nicht autorisierte Angreifer aus dem Netz ihre Rechte ausweiten. Damit das Problem korrigiert wird, müssen Nutzer keine Maßnahmen ergreifen.

Laut Microsoft wurde eine Schwachstelle im "partner.microsoft.com"-Angebot bereits missbraucht (CVE-2024-49035, CVSS 8.7, hoch). Das Problem gab es in der Online-Version der Microsoft Power Apps. Auch hier hat Microsoft das Problem serverseitig gelöst.

Auch in Microsoft Azure PolicyWatch gab es eine Sicherheitslücke mit hohem Risiko (CVE-2024-49052, CVSS 8.2, hoch). Die Entwickler haben hier das Risiko als kritisch eingestuft. Auch hier erfolgen die Korrekturen serverseitig durch Microsoft.

In Microsofts Business-Software Dynamics 365 Sales befindet sich die vierte Sicherheitslücke (CVE-2024-49053, CVSS 7.6, hoch). Ab Version 3.24104.15 sind die Apps Dynamics 365 Sales für iOS und Dynamics 365 Sales für Android nicht mehr anfällig. Hier müssen die Nutzer aktiv werden und die Aktualisierungen einspielen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE