Microsoft Patch Tuesday: 66 flaws (gebreken, fouten) in mei, waarvan 1 zero-day vulnerability. Fixen dus!
Het kabinet is gevallen en de ‘vriendschap’ tussen de rijkste en de machtigste man op aarde is bekoeld. We gaan hier niet onderzoeken waar het in beide gevallen precies misging, maar duidelijk is dat er niks meer viel te patchen. Als je wilt dat iets goed blijft werken, moet je tijd investeren, onderhoud plegen en af en toe iets herstellen. Daarom komt Microsoft maandelijks met patches om de goede werking van al haar software te garanderen. Dat werkt echter alleen als je de patches die voor jou van toepassing zijn ook echt installeert.
Deze Patch Tuesday kwam Microsoft met 66 updates voor geconstateerde tekortkomingen (flaws). Wim Milder zoomt in op de belangrijkste patches van deze maand.
De belangrijkste patches van de Patch Tuesday in juni
CVE-2025-32713 en CVE-2025-32714 betreft een tweetal Local Privilige Escalation kwetsbaarheden, respectievelijk in de Common Log File System Driver en Windows Installer. Eenvoudig te repareren door de patches te installeren.
CVE-2025-33053 is verreweg de belangrijkste update van deze maand. Het betreft een zero-day vulnerability voor Remote Code Execution (RCE) in Web Distributed Authoring and Versioning (WEBDAV). Dat was zeg maar een verouderde uitbreiding van HTTP die wordt gebruikt voor het gezamenlijk bewerken en voor bestandsbeheer. De kwetsbaarheid komt voort uit een probleem met externe controle over bestandsnaam of -pad, waardoor aanvallers (kwaadaardige) URL’s kunnen creëren die zodra erop geklikt wordt leiden tot het uitvoeren van willekeurige code op het doelsysteem. Voor dergelijke aanvallen zijn geen speciale gebruikersrechten nodig, maar wel gebruikersinteractie. Alle ondersteunde versies van Windows zijn getroffen, want al heeft Microsoft Internet Explorer en Edge Legacy afgeschreven, onderliggende componenten als MSHTML en WebBrowser Control blijven kwetsbaar. Daarom moeten deze – om volledige bescherming te garanderen – worden gepatcht via de IE Cumulative Updates. Deze kwetsbaarheid is actief misbruikt en door Microsoft met een CVSS-score van 8.8 geclassificeerd.
CVE-2025-33064 en CVE-2025-33066 bieden de oplossing voor Windows Routing en Remote Access Service (RRAS) waarbij aanvallers op afstand code kunnen uitvoeren. Deze twee patches pakken tevens meerdere kwetsbaarheden aan in Windows SMB, Remote Desktop Services, de Windows Kernel en Office-componenten zoals Word, Excel, PowerPoint en Outlook.
CVE-2025-33070 en CVE-2025-33071 hebben beide een CVSS-score van 8.1 en fixen een probleem met Windows Netlogon en de KDC Proxy Service dat serieuze risico’s in netwerkomgevingen opleverde.
CVE-2025-47966 kent een ongekend hoge CVSS-score van 9.8 en lost een probleem op in Power Automate waarbij Remote Code Execution over het netwerk mogelijk werd zonder User Interaction of Privileges.
Kiezen voor gemak of zelf doen?
Moet je alle updates installeren? Dat is altijd afhankelijk van wat je precies gebruikt, maar het is belangrijk het elke maand even na te lopen. In totaal gaat het dit keer om 25 Remote Code Execution Vulnerabilities, 17 Information Disclosure Vulnerabilities, 13 Elevation of Privilege Vulnerabilities, 6 Denial of Service Vulnerabilities, 3 Security Feature Bypass Vulnerabilities en 2 Spoofing Vulnerabilities. Dit aantal staat los van de eerder deze maand gepubliceerde fixes voor flaws in Mariner, Microsoft Edge en Power Automate. Het geeft maar aan dat constante waakzaamheid nodig is om bij te blijven. Dat kost effort en daar kan Axoft je ontzorgen. Dus als je er zelf geen omkijken meer naar wilt hebben, neem dan contact op met de experts van Axoft. Dan weet je zeker dat je Microsoft-omgeving (en de rest trouwens ook) altijd up-to-date is.
