編輯:左右裡
微軟在本週二如期釋出了本月的安全更新,涉及3D Viewer、Microsoft Edge、Microsoft Exchange Server、Microsoft Office等元件,共報告了55個漏洞,包括6個高危漏洞和49個嚴重漏洞。
共有20個許可權提升漏洞、2個安全功能繞過漏洞、15個遠端程式碼執行漏洞、10個資訊洩露漏洞、3個拒絕服務漏洞、4個欺騙漏洞。
其中有兩個漏洞被積極利用:
CVE-2021-42321
這是Exchange Server中的一個遠端程式碼執行(RCE)漏洞,CVSS評分8.8,攻擊複雜度較低。Exchange Server是2021年漏洞報告中的常客了,這次問題出現在cmdlet,即PowerSheel環境中使用的輕量級命令。為了利用此漏洞,攻擊者需要透過身份驗證,這限制了此漏洞的影響。微軟稱,他們已發現有限的有針對性的攻擊正在野利用此漏洞。據稱,此漏洞類似於上個月在天府杯駭客大賽中披露的Exchange Server漏洞。
CVE-2021-42292
Microsoft Excel中的一個安全功能繞過漏洞,CVSS評分7.8,此漏洞可在攻擊目標開啟專門製作的檔案時執行程式碼。Windows系統已可獲得更新,但Mac Office的更新尚未釋出。
據瞭解,使用者關心的列印問題並未在本次更新中得到修復。
另外,微軟提醒使用者,下次將是Windows 10 2004版本的最後一次更新,2021年12月14日將結束Windows 10 2004版本的維護,不再為新發現的漏洞提供技術支援、質量更新和安全修復。因此,微軟建議使用者儘快升級到最新版本的Windows 10 21H1或者Windows 11。
資訊來源:微軟安全響應中心
轉載請註明出處和本文連結
推薦文章++++
* 700萬客戶資訊洩露,證券交易平臺羅賓漢遭入侵
* 人傻錢多?勒索軟體團伙盯上美國土著部落賭場
* 高達千萬美元獎勵,美國懸賞DarkSide人員資訊
* 魷魚遊戲加密貨幣騙局,創造者或已卷錢跑路
* 美國大範圍電視臺停播,最大廣播集團之一遭勒索軟體攻擊
* Mykings殭屍網路仍活躍,至少已透過挖礦獲利2470萬美元
* 微軟10月累積更新,修復4個0day漏洞
﹀
﹀
﹀
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com