微軟補丁星期二：修復108個漏洞，含5個0day

昨天微軟迎來2021年度第四個“補丁星期二”，本次更新微軟一共修復了108個漏洞，19個標記為“關鍵漏洞”，89個標記為“重要漏洞”，不包含本月初發布的6個 Chromium Edge 漏洞。覆蓋Windows作業系統、Exchange Server、Azure、Office等多個產品。

值得注意的是本次更新中，微軟修復了5個0Day漏洞。根據微軟官方的描述，其中一個漏洞CVE-2021-28310很可能已經被積極利用。

該漏洞為Win32k特權提升漏洞，由卡巴斯基研究員在野外發現。成功利用該漏洞後，攻擊者能夠在目標裝置上提升許可權，做到逃逸沙盒，或者是進一步訪問系統，最終控制整個裝置。

研究員表示，這個漏洞很可能已經被黑客組織BITTER APT所使用。且攻擊者很有可能將它和其他0day漏洞或者是已經打過補丁的漏洞一起使用。

但近日該研究員在部落格中稱由於無法捕捉到完整的鏈，所以還無法確認這種一起使用的情況是否存在。

此外，NSA 在Microsoft Exchange中發現的4個遠端執行漏洞，這次也得到修復。其中CVE-2021-28480和CVE-2021-28481這兩個漏洞，如果被成功利用，攻擊者能夠在未經過身份驗證的情況下遠端讀寫檔案和執行命令，危害程度或高於微軟在3月修復的Exchange漏洞。

關於本月釋出的安全更新完整報告可以到此網站檢視：

https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/April-2021.html

大家記得及時打補丁，更新到最新版本哦！

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com