Microsoft 已经发布了 55 个软件安全修复程序,包括解决在野外被积极利用的零日漏洞的补丁程序。
这家雷德蒙德巨头的最新一轮补丁通常在每个月的第二个星期二发布,也就是所谓的“星期二补丁”,包括针对 6 个关键漏洞、15 个远程代码执行 (RCE) 错误、信息泄漏和特权提升安全漏洞的修复,以及可能导致欺骗和篡改的问题。
受 11 月安全更新影响的产品包括 Microsoft Azure、基于 Chromium 的 Edge 浏览器、Microsoft Office——以及相关产品,如 Excel、Word 和 SharePoint——Visual Studio、Exchange Server、Windows Kernel 和 Windows Defender。
此更新中解决的一些最有趣的漏洞(都被认为很重要)是:
CVE-2021-42321 : (CVSS:3.1 8.8 / 7.7)。在主动利用下,此漏洞会影响 Microsoft Exchange Server,并且由于 cmdlet 参数验证不当,可能会导致 RCE。但是,攻击者必须经过身份验证。
CVE-2021-42292 : (CVSS:3.1 7.8 / 7.0)。也被检测为在野外被利用,此漏洞是在 Microsoft Excel 中发现的,可用于规避安全控制。微软表示预览窗格不是攻击媒介。目前没有适用于 Mac 的 Microsoft Office 2019 或 Mac 2021 的 Microsoft Office LTSC 的补丁。
CVE-2021-43209 : (CVSS:3.1 7.8 / 6.8)。一个公开的3D Viewer漏洞,可以在本地利用该漏洞触发RCE。
CVE-2021-43208 : (CVSS:3.1 7.8 / 6.8)。另一个已知问题,这个 3D 查看器安全漏洞也可以被本地攻击者用于代码执行目的。
CVE-2021-38631:(CVSS:3.0 4.4 / 3.9)。同样公开的是,这个在 Windows 远程桌面协议 (RDP) 中发现的安全漏洞可用于信息泄露。
CVE-2021-41371 : (CVSS:3.1 4.4 / 3.9)。最后,这个 RDP 漏洞,在补丁可用之前就已知,也可以在本地被利用来强制信息泄漏。
根据零日计划(ZDI),从历史上看,11 月份解决的漏洞数量相对较少。
“去年,修复的 CVE 数量增加了一倍多,”该组织表示。“即使回到 2018 年全年仅修复 691 个 CVE 的情况,11 月修复的 CVE 也比本月多。鉴于 12 月通常是补丁方面较慢的月份,这让人怀疑是否有积压的 CVE由于各种因素,补丁正在等待部署。”
上个月,微软解决了10 月份一批安全修复程序中的 71 个错误。特别值得注意的是总共四个零日漏洞的补丁,其中一个在野外被积极利用,而三个被公开。
一个前一个月,该科技巨头的九月补丁星期二期间解决了60个漏洞。补丁中包括对 MSHTML 中 RCE 的修复。
在微软最近的新闻时,Visual Studio 2022和.NET 6中,普遍对11月8日的Visual Studio 2022包括的一些功能的开发刷新以及调试改进。.NET 6 包括性能增强,是第一个能够同时支持 Windows Arm64 和 Apple Arm64 Silicon 的版本。
网友评论文明上网理性发言已有0人参与
发表评论: