编辑:左右里
微软在本周二如期发布了本月的安全更新,涉及3D Viewer、Microsoft Edge、Microsoft Exchange Server、Microsoft Office等组件,共报告了55个漏洞,包括6个高危漏洞和49个严重漏洞。
共有20个权限提升漏洞、2个安全功能绕过漏洞、15个远程代码执行漏洞、10个信息泄露漏洞、3个拒绝服务漏洞、4个欺骗漏洞。
其中有两个漏洞被积极利用:
CVE-2021-42321
这是Exchange Server中的一个远程代码执行(RCE)漏洞,CVSS评分8.8,攻击复杂度较低。Exchange Server是2021年漏洞报告中的常客了,这次问题出现在cmdlet,即PowerSheel环境中使用的轻量级命令。为了利用此漏洞,攻击者需要通过身份验证,这限制了此漏洞的影响。微软称,他们已发现有限的有针对性的攻击正在野利用此漏洞。据称,此漏洞类似于上个月在天府杯黑客大赛中披露的Exchange Server漏洞。
CVE-2021-42292
Microsoft Excel中的一个安全功能绕过漏洞,CVSS评分7.8,此漏洞可在攻击目标打开专门制作的文件时执行代码。Windows系统已可获得更新,但Mac Office的更新尚未发布。
据了解,用户关心的打印问题并未在本次更新中得到修复。
另外,微软提醒用户,下次将是Windows 10 2004版本的最后一次更新,2021年12月14日将结束Windows 10 2004版本的维护,不再为新发现的漏洞提供技术支持、质量更新和安全修复。因此,微软建议用户尽快升级到最新版本的Windows 10 21H1或者Windows 11。
资讯来源:微软安全响应中心
转载请注明出处和本文链接
推荐文章++++
* 700万客户信息泄露,证券交易平台罗宾汉遭入侵
* 人傻钱多?勒索软件团伙盯上美国土著部落赌场
* 高达千万美元奖励,美国悬赏DarkSide人员信息
* 鱿鱼游戏加密货币骗局,创造者或已卷钱跑路
* 美国大范围电视台停播,最大广播集团之一遭勒索软件攻击
* Mykings僵尸网络仍活跃,至少已通过挖矿获利2470万美元
* 微软10月累积更新,修复4个0day漏洞
﹀
﹀
﹀
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com