Microsoft heeft tijdens Patch Tuesday zestig kwetsbaarheden verholpen in Windows, Office, Edge en andere producten. In twee gevallen ging het om bugs met een kritieke classificatie. Geen van de bugs wordt actief misbruikt, wat de laatste tijd wel vaak voorkwam.
Microsoft heeft KB5035853 voor Windows 11-versies 22621.3296 en 22631.3296 en KB5035845 voor Windows 10-versies 19044.4170 en 19045.4170 uitgebracht. Verder heeft het bedrijf patches uitgebracht voor verschillende van zijn softwarepakketten. In de update zit ook een bugfix voor een eerder probleem dat ontstond in de Patch Tuesday-ronde van februari. Daarbij kon het bij sommige gebruikers voorkomen dat een nieuwe Windows-installatie niet voltooide.
In de updatecyclus zitten twee updates die Microsoft een kritieke score geeft. Die zitten beide in Hyper-V. In een geval, bij CVE-2024-21334, gaat het om een use-after-freekwetsbaarheid die het mogelijk maakt om een aanval op afstand en zonder authenticatiecode uit te voeren. De bug krijgt daarvoor een CVSS-score van 9.8. Naast de patch kan die kwetsbaarheid ook worden gemitigeerd door OMI-poorten uit te schakelen, zodat aanvallers nergens binnen kunnen komen.
De tweede bug die als kritiek wordt aangemerkt, is CVE-2024-21435. Daarmee is het mogelijk om na het installeren van een geïnfecteerde DLL ook op afstand code uit te voeren in een Hyper-V-VM. Die bug krijgt een CVSS-score van 8.8.
Van de zestig bugs die Microsoft in totaal heeft verholpen, gaat het in 18 gevallen om een mogelijkheid tot een remote code execution. In 24 gevallen is het mogelijk rechten te verhogen, en bij 6 bugs is het mogelijk om gegevens te stelen van een systeem. Microsoft zegt dat geen van de bugs in de praktijk werd misbruikt.