Ich stelle noch eine Sicherheitsmeldung hier im Blog ein, die mir bereits seit Mitte Dezember 2024 vorliegt, aber "hängen geblieben ist". Im Microsoft Update-Katalog gab es eine kritische Schwachstelle CVE-2024-49147, die im Microsoft Update Catalog Rechteerweiterungen ermöglichte. Diese Schwachstelle wurde durch Microsoft geschlossen.
Anzeige
Jan V. hatte mich auf den Sachverhalt hingewiesen und schrieb Mitte Dezember 2024 "beim Update-Check zum aktuellen Edge v131.0.2903.99 bin ich zufällig über die Meldung zum CVE-2024-49147 vom 12.12.2024 'gestolpert'. Der Microsoft Update Catalog ist bestimmt ein lohnenswertes Angriffsziel, ich würde mal sagen 'Schwein gehabt'."
Das "Schwein gehabt" kann man wörtlich lesen, obiger Screenshot zeigt den Eintrag Microsofts zu CVE-2024-49147, die die Elevation of Privilege-Schwachstelle als kritisch und mit dem CVSS 3.1-Index von 9.3 bewertet haben.
Dazu heißt es bei Microsoft, dass die Deserialisierung von nicht vertrauenswürdigen Daten im Microsoft Update Catalog es einem nicht autorisierten Angreifer ermöglicht, seine Rechte auf dem Webserver der Website zu erhöhen.
Anzeige
Diese Sicherheitslücke wurde von Microsoft bei Offenlegung bereits vollständig entschärft bzw. geschlossen. Die Offenlegung zeigt aber, welche Klöpse da unter der Haube lauern.
Anzeige
Passt doch gut in Bild, angesichts
https://www.borncity.com/blog/2025/03/15/exchange-online-und-ms365-probleme-durch-schwachstelle-maerz-2025/