- Служителите на Редмънд разгледаха много проблеми с пускането този месец, повече от очакваното.
- Уязвимостта, която засяга Microsoft Exchange Server, беше третирана като критична.
- Също така смятан за критичен беше основен уязвимост, която действително беше открита в Microsoft Excel.
- Тази статия съдържа пълния списък с актуализации на сигурността, издадени през ноември 2021 г.
Да, отново е това време от месеца и Microsoft пусна 55 корекции на сигурността, включително пачове, които се справят с уязвимости от нулев ден, активно експлоатирани в дивата природа.
Последният кръг от корекции на технологичния гигант има поправки за шест критични уязвимости, 15 грешки в дистанционното изпълнение на код (RCE), изтичане на информация и повишаване на пропуските в сигурността на привилегиите, както и проблеми, които могат да доведат до подправяне и подправяне.
Microsoft Azure, базираният на Chromium браузър Edge, Microsoft Office и свързаните с него продукти, Visual Studio, Exchange Server, Windows Kernel и Windows Defender са някои от продуктите, насочени от лепенки.
Поправени са петнадесет грешки при дистанционното изпълнение на код
Още един натоварен месец за програмистите и разработчиците от Редмънд, тъй като те продължават да се борят със стари и постоянно възникващи проблеми.
Докато някои въпроси се нуждаеха само от малки промени, други бяха от първостепенно значение и бяха третирани като такива от технологичната компания
Някои от най-интересните уязвимости, разрешени в тази актуализация, всички считани за важни, са:
- CVE-2021-42321: (CVSS: 3.1 8.8 / 7.7). При активен експлойт тази уязвимост засяга Microsoft Exchange Server и поради неправилно валидиране на аргументите на cmdlet може да доведе до RCE. Въпреки това, нападателите трябва да бъдат удостоверени.
- CVE-2021-42292: (CVSS: 3.1 7.8 / 7.0). Също така открита като експлоатирана в дивата природа, тази уязвимост е открита в Microsoft Excel и може да се използва за заобикаляне на контролите за сигурност. Microsoft казва, че екранът за преглед не е вектор на атака. Понастоящем не е налична корекция за Microsoft Office 2019 за Mac или Microsoft Office LTSC за Mac 2021.
- CVE-2021-43209: (CVSS: 3.1 7.8 / 6.8). Уязвимост в 3D Viewer, оповестена публично, тази грешка може да бъде използвана локално, за да задейства RCE.
- CVE-2021-43208: (CVSS: 3.1 7.8 / 6.8). Друг известен проблем, този недостатък в сигурността на 3D Viewer също може да бъде въоръжен от локален нападател за целите на изпълнение на код.
- CVE-2021-38631: (CVSS: 3.0 4.4 / 3.9). Също така публично, този пропуск в сигурността, открит в протокола за отдалечен работен плот на Windows (RDP), може да се използва за разкриване на информация.
- CVE-2021-41371: (CVSS: 3.1 4.4 / 3.9). И накрая, тази уязвимост на RDP, известна преди да е налично кръпката, също може да бъде използвана локално, за да предизвика изтичане на информация.
Това е сравнително малък брой уязвимости, отстранени през месец ноември, сравнявайки тази версия с тези от предишни години.
Миналия месец, Microsoft разреши 71 грешки, така че можем да считаме това за доста тих период. Особено внимание заслужават кръпките за общо четири недостатъка с нулеви дни, един от които е бил активно експлоатиран в дивата природа, докато три са оповестени публично.
Ако се върнем още малко назад във времето, Microsoft се справи с над 60 уязвимости по време на септемврийската корекция във вторник. Сред кръпките беше поправка за RCE в MSHTML.
И нека не забравяме, че наред със софтуерната версия на Microsoft Patch Tuesday, има и други компании, които също са публикували актуализации за сигурност, като например:
- Adobe актуализации на сигурността
- SAP актуализации на сигурността
- VMWare съвети за сигурност
- Intel актуализации на сигурността
Борили ли сте се с някоя от грешките, изброени в тази статия? Уведомете ни в секцията за коментари по-долу.
