修復3個9.8分漏洞，微軟釋出12月累積更新

編輯：左右裡

沿襲慣例，微軟如期釋出了12月的安全更新。更新補丁涉及Windows Media、Microsoft Office、Microsoft PowerShell、Edge瀏覽器、Windows核心等。

補丁包括：

26個遠端程式碼執行漏洞

21個特權提升漏洞

10個資訊洩露漏洞

7個欺騙漏洞

3個拒絕服務漏洞

總共修復了67個安全漏洞，其中以下幾個關鍵漏洞值得注意：

CVE-2021-43215，CVSS評分9.8，攻擊者可以向Internet儲存名稱服務（iSNS）伺服器傳送經特殊設計的請求，從而實現遠端程式碼執行（RCE）。

另一個9.8分的漏洞是CVE-2021-43907，這是Visual Studio Code WSL Extension中的一個RCE漏洞，微軟表示其可以被未經身份驗證的攻擊者利用，不需使用者互動。

最後一個9.8分漏洞是CVE-2021-43899，與Microsoft 4K顯示介面卡位於同一網路上的未經身份驗證的攻擊者可以向易受攻擊的裝置傳送特製資料包，從而在受影響的裝置上實現RCE。

此外還有存在於Microsoft Office應用程式中的RCE漏洞CVE-2021-43905（CVSS評分9.6）、在Microsoft Defender for IoT中發現的RCE漏洞CVE-2021-42310等。

微軟還修復了一個野外零日漏洞CVE-2021-43890，它是WindowsAppX安裝程式中的一個欺騙漏洞。該安裝程式用於旁載入Windows 10應用程式，可在App Store 上使用。

Immersive Labs網路威脅研究總監Kevin Breen解釋說，該漏洞允許攻擊者製作惡意軟體包檔案，然後將其修改為合法的應用程式。在微軟修復之前，該漏洞在與Emotet，TrickBot和Bazaloader惡意軟體相關的多次攻擊中出現。 

根據零日計劃（ZDI）的資料，微軟今年已經修補了887個CVE漏洞。雖然這個數字很高，但該團隊指出，它還比2020年下降了29%（不包括基於Chromium的Edge）。

資訊來源：微軟官網

轉載請註明出處和本文連結

推薦文章++++

* 惋惜！騰訊天美F1工作室遊戲開發大神毛星雲意外身故

* 世界最大勞動力管理平臺Kronos遭攻擊

* 程式設計師的福音，微軟正在訓練AI自動Debug

* 核彈級漏洞——Apache Log4j 2 遠端程式碼執行漏洞事件詳情及修復方式

* 2021年報告的漏洞總數揭露，創歷史新高

* 全球範圍多家知名平臺受波及，亞馬遜雲服務中斷

* 商店或關閉或只支援現金，英國北部SPAR遭遇IT中斷

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com