SØK
VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#040-2026] [TLP:CLEAR] Microsoft, Adobe og SAP-sårbarheter for mai 2026

12-05-2026

Microsoft sin oppdatering for mai 2026 retter 137 Microsoft CVE, hvor 30 er vurdert som kritisk og 102 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode, gi utvidede rettigheter og/eller til å ta kontroll over brukere og systemer. De kritiske sårbarhetene berører Azure AI Foundry (CVE-2026-35435), Azure Cloud Shell (CVE-2026-35428), Azure DevOps (CVE-2026-42826), Azure Machine Learning Notebook (CVE-2026-32207), Azure Managed Instance for Apache Cassandra (CVE-2026-33109 og CVE-2026-33844), Azure Monitor Action Group Notification System (CVE-2026-41105), Copilot Chat (Microsoft Edge) (CVE-2026-33111), M365 Copilot (CVE-2026-26129, CVE-2026-26164), Microsoft Dynamics 365 Customer Insights (CVE-2026-33821), Microsoft Dynamics 365 On-Premises (CVE-2026-42898), Microsoft Enterprise Security Token Service (ESTS) (CVE-2026-40379), Microsoft Office (CVE-2026-40358, CVE-2026-40363 og CVE-2026-42831), Microsoft Partner Center (CVE-2026-34327), Microsoft SharePoint Server (CVE-2026-40365), Microsoft SSO Plugin for Jira & Confluence (CVE-2026-41103), Microsoft Team Events Portal (CVE-2026-33823), Microsoft Word (CVE-2026-40361, CVE-2026-40364, CVE-2026-40366 og CVE-2026-40367), Windows DNS Client (CVE-2026-41096), Windows GDI (CVE-2026-35421), Windows Graphics Component (CVE-2026-40403), Windows Hyper-V (CVE-2026-40402), Windows Native WiFi Miniport Driver (CVE-2026-32161) og Windows Netlogon (CVE-2026-41089). I tillegg har Microsoft rettet 162 CVE siden forrige patche-tirsdag som berører Microsoft Edge Chromium.

 

Adobe har publisert 10 bulletiner som dekker 52 CVE hvor 27 er vurdert som kritisk (CVSS-score til og med 9.6). Flere av sårbarhetene gjør det mulig for angriper å kjøre vilkårlig kode. De kritiske sårbarhetene berører Adobe After Effects, Adobe Commerce, Adobe Connect, Adobe Illustrator, Adobe Media Encoder, Adobe Premiere Pro, Adobe Substance 3D Painter, Adobe Substance 3D Sampler, Content Authenticity JS SDK og Content Authenticity Rust SDK.

 

SAP Security Patch Day for mai 2026 inneholder 15 nye bulletiner, hvor 2 er kategorisert som kritisk (CVSS-score til og med 9.6). De kritiske sårbarhetene berører SAP S/4HANA (SAP Enterprise Search for ABAP) og SAP Commerce Cloud.

 


Se Microsoft [1], Adobe [2] og SAP [3] sine nettsider for flere detaljer om sårbarhetene.

 


Berørte produkter er:

  • .NET
  • ASP.NET Core
  • Azure AI Foundry M365 published agents (CRITICAL)
  • Azure Cloud Shell (CRITICAL)
  • Azure Connected Machine Agent
  • Azure DevOps (CRITICAL)
  • Azure Entra ID (CRITICAL)
  • Azure Logic Apps
  • Azure Machine Learning (CRITICAL)
  • Azure Managed Instance for Apache Cassandra (CRITICAL)
  • Azure Monitor Agent (CRITICAL)
  • Azure Notification Service
  • Azure SDK
  • Copilot Chat (Microsoft Edge) (CRITICAL)
  • Data Deduplication
  • Dynamics Business Central
  • GitHub Copilot and Visual Studio
  • M365 Copilot (CRITICAL)
  • M365 Copilot for Desktop
  • Microsoft Data Formulator
  • Microsoft Dynamics 365 (on-prem) (CRITICAL)
  • Microsoft Dynamics 365 Customer Insights (CRITICAL)
  • Microsoft Edge (Chromium-based)
  • Microsoft Edge for Android
  • Microsoft Office (CRITICAL)
  • Microsoft Office Click-To-Run
  • Microsoft Office Excel
  • Microsoft Office PowerPoint
  • Microsoft Office SharePoint (CRITICAL)
  • Microsoft Office Word (CRITICAL)
  • Microsoft Partner Center (CRITICAL)
  • Microsoft SSO Plugin for Jira & Confluence (CRITICAL)
  • Microsoft Teams (CRITICAL)
  • Microsoft Windows DNS (CRITICAL)
  • Power Automate
  • SQL Server
  • Telnet Client
  • Visual Studio Code
  • Windows Admin Center
  • Windows Admin Center
  • Windows Ancillary Function Driver for WinSock
  • Windows Application Identity (AppID) Subsystem
  • Windows Cloud Files Mini Filter Driver
  • Windows Common Log File System Driver
  • Windows Cryptographic Services
  • Windows DWM Core Library
  • Windows Event Logging Service
  • Windows Filtering Platform (WFP)
  • Windows GDI (CRITICAL)
  • Windows Hyper-V (CRITICAL)
  • Windows Internet Key Exchange (IKE) Protocol
  • Windows Kernel
  • Windows Kernel-Mode Drivers
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Link-Layer Discovery Protocol (LLDP)
  • Windows Message Queuing
  • Windows Native WiFi Miniport Driver (CRITICAL)
  • Windows Netlogon
  • Windows Print Spooler Components
  • Windows Projected File System
  • Windows Remote Desktop
  • Windows Rich Text Edit Control
  • Windows Secure Boot
  • Windows SMB Client
  • Windows Storage Spaces Controller
  • Windows Storport Miniport Driver
  • Windows TCP/IP
  • Windows Telephony Service
  • Windows Volume Manager Extension Driver
  • Windows Win32K - GRFX (CRITICAL)
  • Windows Win32K - ICOMP
     
  • Adobe After Effects (CRITICAL)
  • Adobe Commerce (CRITICAL)
  • Adobe Connect (CRITICAL)
  • Adobe Illustrator (CRITICAL)
  • Adobe Media Encoder (CRITICAL)
  • Adobe Premiere Pro (CRITICAL)
  • Adobe Substance 3D Designer
  • Adobe Substance 3D Painter (CRITICAL)
  • Adobe Substance 3D Sampler (CRITICAL)
  • Content Authenticity JS SDK (CRITICAL)
  • Content Authenticity Rust SDK (CRITICAL)
     
  • SAP Application Server ABAP for SAP NetWeaver and ABAP Platform
  • SAP BusinessObjects Business Intelligence Platform
  • SAP Business Server Pages Application (TAF_APPLAUNCHER)
  • SAP Commerce Cloud (CRITICAL)
  • SAP Forecasting & Replenishment
  • SAP HANA Deployment Infrastructure (HDI) deploy library
  • SAP Incentive and Commission Management
  • SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages)
  • SAP NetWeaver Application Server for ABAP and ABAP Platform
  • SAP S/4HANA (SAP Enterprise Search for ABAP) (CRITICAL)
  • SAP S/4HANA Condition Maintenance
  • SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard)
  • SAPUI5 (Search UI)

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk phishing-resistent multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillat f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
  • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [4]
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide/releaseNote/2026-May
[2] https://helpx.adobe.com/security/Home.html
[3] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html
[4] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up