- Microsoft popravi 161 ranljivosti v svojem prvem torku popravkov leta 2025, vključno s tremi ničelnimi dnevi v aktivnem izkoriščanju.
- Kritične okvare so povezane s sistemom Windows Hyper-V in lahko dovoli stopnjevanje privilegijev.
- CISA poziva, naj se popravki uvedejo do 4. februarja, da se zmanjšajo nadaljnja tveganja.
- Poleg tega so ranljivosti v izdelkih, kot je npr Microsoft Edge, ki poudarja to lansiranje kot največjo po letu 2017.
Z začetkom leta 2025 je Microsoft predstavil svoj prvi Patch Tuesday v letnem ciklu posodobitev. Ta dogodek, ki je že znan kot ključen pri upravljanju kibernetske varnosti, je ponovno pokazal, kako pomembno je biti na tekočem z najnovejšimi popravki. Microsoft je obravnaval skupno 161 ranljivosti prisoten v več izdelkih, nekateri od njih so razvrščeni kot kritični zaradi njihovega možnega vpliva.
Ta izdaja izstopa po vključitvi rešitve za tri ranljivosti ničelnega dne, ki so bile že aktivno izkoriščene.. Te napake, navedene kot CVE-2025-21333, CVE-2025-21334 in CVE-2025-21335, so si prislužile oceno resnosti 7.8 na lestvici CVSS, kar jih uvršča med najbolj kritične v tej seriji posodobitev. Po mnenju Microsofta te vrzeli vplivajo na jedro integracije NT sistema Windows Hyper-V, kar bi lahko napadalcu omogočilo stopnjevanje privilegijev in pridobitev polnega dostopa do prizadetih sistemov.
Resnost ranljivosti ničelnega dne
Ranljivosti ničelnega dne predstavljajo stalno grožnjo v svetu kibernetska varnost, še posebej, ko so jih že začeli aktivno izkoriščati. V tem primeru Microsoft ni zagotovil posebnih podrobnosti o odgovornih napadalcih ali prizadetih žrtvah, čeprav je poudaril, da se te pomanjkljivosti uporabljajo predvsem v fazi eskalacije privilegijev znotraj širšega napada. To kaže, da bi bili v mnogih primerih ciljni sistemi že ogroženi z drugimi prejšnjimi metodami.
V zvezi s tem je ukrepala tudi Agencija za kibernetsko varnost in infrastrukturo (CISA)., s čimer je te ranljivosti dodal v katalog znanih izkoriščenih ranljivosti (KEV). Ta poteza želi opozoriti vladne agencije in končne uporabnike o nujni uporabi teh posodobitev. Rok, ki ga je določil CISA za implementacijo popravkov v zveznih organizacijah, je naslednji 4. februar.
Predstavitev brez primere od leta 2017
Poleg treh ranljivosti ničelnega dne je Microsoft odpravil tudi 11 dodatnih napak, razvrščenih kot kritične. Te vključujejo težave, povezane z oddaljenim izvajanjem kode in nepooblaščenim dostopom, ki bi lahko bili uporabljeni za ogrožanje občutljivih podatkov ali motenje kritičnih operacij v sistemih podjetja.
Preostale ranljivosti, skupaj 149, so bile razvrščene kot pomembne. Čeprav te napake niso tako resne kot prejšnje, še vedno predstavljajo precejšnje tveganje, če jih ne obravnavamo pravilno. Po navedbah Zero Day Initiative, priznanega agenta na področju kibernetske varnosti, je ta prvi torek popravkov v letu 2025 največji dogodek Microsoftovih posodobitev od leta 2017.
Po drugi strani pa je bilo v ločeni posodobitvi odpravljenih tudi sedem ranljivosti v brskalniku Microsoft Edge.. Teh pomanjkljivosti, čeprav so v primerjavi z njimi majhne, ne gre podcenjevati, saj vplivajo na milijone uporabnikov, ki dnevno uporabljajo ta brskalnik.
Pomen izvajanja posodobitev
Organizacije in posamezne uporabnike pozivajo k hitremu ukrepanju zagotoviti, da sistemi ostanejo zaščiteni pred morebitnimi grožnjami. Posodobitve so zdaj na voljo za prenos prek običajnih Microsoftovih kanalov, vključno z Windows Update in centralizirani sistemi upravljanja.
V hitro razvijajočem se tehnološkem okolju so ranljivosti programske opreme postale običajna tarča kibernetskih kriminalcev. Zato imajo varnostni popravki, kot so tisti, ki so bili razdeljeni v torek popravkov, temeljno vlogo pri ohranjanju celovitosti sistemov, izogibanju prekinitvam delovanja, izgubi podatkov ali škodi ugledu.
Ta prvi torek popravkov v letu 2025 ne pomeni le mejnika v smislu števila popravkov, ampak tudi poudarja Microsoftovo zavezanost, da ostane v ospredju v boju proti kibernetskim grožnjam.
Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.