Microsoft Patch Tuesday marts 2025: To 0-dagssårbarheder og kritiske fejl rettet

Microsoft har den 12. marts udsendt deres månedlige sikkerhedsopdateringer ifm. Patch Tuesday. Opdateringen adresserer 63 sårbarheder på tværs af forskellige Microsoft-produkter, hvoraf to er 0-dagssårbarheder , der allerede er under aktiv udnyttelse. Det skriver en række medier i dag.

Aktivt udnyttede 0-dage 

CVE-2025-21391: En sårbarhed i Windows Storage, der kan føre til forhøjelse af rettigheder. En angriber kan udnytte denne sårbarhed til at slette målrettede filer på et system, hvilket potentielt kan resultere i, at tjenesten bliver utilgængelig. CVSS-score: 7,1.

CVE-2025-21418: En sårbarhed i Windows Ancillary Function Driver for WinSock, der også kan føre til forhøjelse af rettigheder. Udnyttelse af denne sårbarhed kan give en angriber SYSTEM-rettigheder. CVSS-score: 7,8.

Kritiske sårbarheder

Ud over de nævnte 0-dags-sårbarheder har Microsoft rettet tre kritiske sårbarheder i denne opdatering:

CVE-2025-21198: En fjernkodeudførelsessårbarhed i High Performance Compute (HPC) Pack. En angriber kan udnytte sårbarheden ved at sende en specielt udformet HTTPS-anmodning til en målrettet head node eller Linux compute node, hvilket giver mulighed for fjernudførelse af kode. CVSS-score: 9,0.

CVE-2025-21376: En sårbarhed i Windows Lightweight Directory Access Protocol (LDAP), der kan føre til fjernudførelse af kode. En angriber kan udnytte denne sårbarhed ved at sende en specielt udformet anmodning og derved udføre vilkårlig kode. Udnyttelse kræver dog, at angriberen vinder en race condition. CVSS-score: 8,1.

Microsoft anbefaler, at alle brugere og administratorer implementerer opdateringerne så hurtigt som muligt. Opdateringerne er tilgængelige via de sædvanlige Microsoft-kanaler, herunder Windows Update og centraliserede administrationssystemer.

En komplet liste over de rettede sårbarheder og flere detaljer kan ses på Microsofts officielle sikkerhedsopdateringsguide.