微软在本周二如期发布了本月的安全更新,涉及3D Viewer、Microsoft Edge、Microsoft Exchange Server、Microsoft Office等组件,共报告了55个漏洞,包括6个高危漏洞和49个严重漏洞。
共有20个权限提升漏洞、2个安全功能绕过漏洞、15个远程代码执行漏洞、10个信息泄露漏洞、3个拒绝服务漏洞、4个欺骗漏洞。
其中有两个漏洞被积极利用:
CVE-2021-42321
这是Exchange Server中的一个远程代码执行(RCE)漏洞,CVSS评分8.8,攻击复杂度较低。Exchange Server是2021年漏洞报告中的常客了,这次问题出现在cmdlet,即PowerSheel环境中使用的轻量级命令。为了利用此漏洞,攻击者需要通过身份验证,这限制了此漏洞的影响。微软称,他们已发现有限的有针对性的攻击正在野利用此漏洞。据称,此漏洞类似于上个月在天府杯黑客大赛中披露的Exchange Server漏洞。CVE-2021-42292
Microsoft Excel中的一个安全功能绕过漏洞,CVSS评分7.8,此漏洞可在攻击目标打开专门制作的文件时执行代码。Windows系统已可获得更新,但Mac Office的更新尚未发布。据了解,用户关心的打印问题并未在本次更新中得到修复。
另外,微软提醒用户,下次将是Windows 10 2004版本的最后一次更新,2021年12月14日将结束Windows 10 2004版本的维护,不再为新发现的漏洞提供技术支持、质量更新和安全修复。因此,微软建议用户尽快升级到最新版本的Windows 10 21H1或者Windows 11。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458402733&idx=3&sn=01e5ac497d8996d4ddc150f73c2dc899&chksm=b18f0f2786f88631bd4a21571bc61495db9c0fd2c32ee9f93dc6bb00aedc89c6f738ff211c87#rd
如有侵权请联系:admin#unsafe.sh