编辑：左右里

微软在本周二如期发布了本月的安全更新，涉及3D Viewer、Microsoft Edge、Microsoft Exchange Server、Microsoft Office等组件，共报告了55个漏洞，包括6个高危漏洞和49个严重漏洞。

共有20个权限提升漏洞、2个安全功能绕过漏洞、15个远程代码执行漏洞、10个信息泄露漏洞、3个拒绝服务漏洞、4个欺骗漏洞。

其中有两个漏洞被积极利用：

CVE-2021-42321 

这是Exchange Server中的一个远程代码执行（RCE）漏洞，CVSS评分8.8，攻击复杂度较低。Exchange Server是2021年漏洞报告中的常客了，这次问题出现在cmdlet，即PowerSheel环境中使用的轻量级命令。为了利用此漏洞，攻击者需要通过身份验证，这限制了此漏洞的影响。微软称，他们已发现有限的有针对性的攻击正在野利用此漏洞。据称，此漏洞类似于上个月在天府杯黑客大赛中披露的Exchange Server漏洞。

CVE-2021-42292

Microsoft Excel中的一个安全功能绕过漏洞，CVSS评分7.8，此漏洞可在攻击目标打开专门制作的文件时执行代码。Windows系统已可获得更新，但Mac Office的更新尚未发布。

据了解，用户关心的打印问题并未在本次更新中得到修复。

另外，微软提醒用户，下次将是Windows 10 2004版本的最后一次更新，2021年12月14日将结束Windows 10 2004版本的维护，不再为新发现的漏洞提供技术支持、质量更新和安全修复。因此，微软建议用户尽快升级到最新版本的Windows 10 21H1或者Windows 11。

资讯来源：微软安全响应中心

转载请注明出处和本文链接

推荐文章++++

* 700万客户信息泄露，证券交易平台罗宾汉遭入侵

* 人傻钱多？勒索软件团伙盯上美国土著部落赌场

* 高达千万美元奖励，美国悬赏DarkSide人员信息

* 鱿鱼游戏加密货币骗局，创造者或已卷钱跑路

* 美国大范围电视台停播，最大广播集团之一遭勒索软件攻击

* Mykings僵尸网络仍活跃，至少已通过挖矿获利2470万美元

* 微软10月累积更新，修复4个0day漏洞

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com