.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
In un altro mese emblematico dell’era della scoperta di vulnerabilità accelerata dall’AI, Microsoft ha rilasciato martedì 132 patch che interessano 20 famiglie di prodotti. Ventinove delle vulnerabilità corrette sono considerate da Microsoft di gravità critica, mentre 13 sono ritenute suscettibili di sfruttamento entro i prossimi 30 giorni. Quarantatré presentano un punteggio CVSS base pari o superiore a 8.0, inclusa una con il punteggio massimo di 10.0.
Quattordici CVE, compresa quella con punteggio 10.0 menzionata sopra, erano già state corrette da Microsoft prima del Patch Tuesday. Sorprendentemente, al giorno del rilascio nessuna risultava divulgata pubblicamente e nessuna è nota per essere attivamente sfruttata in the wild.
Per il secondo mese consecutivo, il rilascio include anche un numero enorme di advisory: ben 145. Come di consueto, la maggior parte riguarda Edge, con vulnerabilità assegnate da Chrome e corrette giorni prima del Patch Tuesday. Uno degli advisory proviene da AMD ed era già stato risolto. Tredici advisory, tutti relativi ad Adobe Commerce, sono stati invece pubblicati da Adobe.
Diverse delle vulnerabilità di questo mese possono essere rilevate direttamente dalle protezioni Sophos; le relative informazioni sono riportate nella consueta tabella disponibile più avanti nel documento.
Come sempre, in fondo all’articolo sono presenti appendici che elencano tutte le patch Microsoft suddivise:
- per livello di gravità (Appendice A),
- per tempistiche previste di sfruttamento e punteggio CVSS Base (Appendice B),
- per famiglia di prodotto (Appendice C).
L’Appendice D riporta gli advisory di questo mese, mentre l’Appendice E offre un dettaglio dei 66 CVE che interessano diverse versioni di Windows Server, incluso l’advisory AMD che non è conteggiato nel totale delle patch mensili.
L’analisi delle informazioni CWE (Common Weakness Enumeration) rese disponibili per le patch di questo mese è riportata nell’Appendice F.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/may-patch-tuesday-hauls-out-132-cves