- Redmondští úředníci řešili spoustu problémů s uvedením tohoto měsíce, více, než se očekávalo.
- Chyba zabezpečení, která ovlivňuje Microsoft Exchange Server, byla považována za kritickou.
- Za kritický byl považován také major zranitelnost, která byla skutečně nalezena v aplikaci Microsoft Excel.
- Tento článek obsahuje úplný seznam aktualizací zabezpečení, které byly vydány v listopadu 2021.
Ano, je tu opět ta doba v měsíci a Microsoft vydal 55 bezpečnostních oprav, včetně záplat, které řeší zranitelnosti zero-day aktivně využívané ve volné přírodě.
Nejnovější kolo oprav tohoto technologického giganta obsahuje opravy šesti kritických zranitelností, 15 chyb vzdáleného spouštění kódu (RCE), úniky informací a povýšení bezpečnostních nedostatků privilegií, stejně jako problémy, které by mohly vést k falšování a manipulaci.
Microsoft Azure, prohlížeč Edge založený na Chromiu, Microsoft Office a související produkty Visual Studio, Exchange Server, Windows Kernel a Windows Defender jsou některé z produktů, na které se zaměřuje záplaty.
Bylo opraveno 15 chyb vzdáleného spouštění kódu
Další rušný měsíc pro redmondské programátory a vývojáře, protože neustále bojují se starými a neustále se objevujícími problémy.
Zatímco některé záležitosti vyžadovaly pouze drobné úpravy, jiné měly prvořadý význam a technologická společnost s nimi tak zacházela.
Některé z nejzajímavějších chyb zabezpečení vyřešených v této aktualizaci, které jsou všechny považovány za důležité, jsou:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Při aktivním zneužití má tato chyba zabezpečení dopad na Microsoft Exchange Server a v důsledku nesprávného ověření argumentů rutiny může vést k RCE. Útočníci však musí být ověřeni.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Tato chyba zabezpečení, která byla také zjištěna jako zneužitá ve volné přírodě, byla nalezena v aplikaci Microsoft Excel a lze ji použít k obcházení bezpečnostních kontrol. Microsoft říká, že podokno náhledu není vektor útoku. Momentálně není k dispozici žádná oprava pro Microsoft Office 2019 pro Mac nebo Microsoft Office LTSC pro Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Chyba zabezpečení 3D Viewer byla zveřejněna. Tuto chybu lze lokálně zneužít ke spuštění RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Dalším známým problémem je tato bezpečnostní chyba 3D Viewer, kterou může místní útočník také zneužít pro účely spuštění kódu.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Tato bezpečnostní chyba, která je také zveřejněna v protokolu RDP (Windows Remote Desktop Protocol), může být použita ke zpřístupnění informací.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). A konečně, tato zranitelnost RDP, známá před tím, než byla k dispozici oprava, může být také lokálně zneužita k vynucení úniku informací.
Jedná se o relativně nízký počet zranitelností vyřešených během měsíce listopadu ve srovnání s tímto vydáním z předchozích let.
Minulý měsíc, Microsoft vyřešil 71 chyb, takže to můžeme považovat za celkem klidné období. Za zvláštní zmínku stojí záplaty pro celkem čtyři chyby zero-day, z nichž jedna byla aktivně využívána ve volné přírodě, zatímco tři byly zveřejněny.
Pokud se vrátíme trochu více v čase, Microsoft se během zářijového opravného úterý vypořádal s více než 60 zranitelnostmi. Mezi záplatami byla oprava RCE v MSHTML.
A nezapomínejme, že vedle vydání softwaru Patch Tuesday od společnosti Microsoft existují další společnosti, které také zveřejnily aktualizace zabezpečení, například:
- Adobe bezpečnostní aktualizace
- MÍZA bezpečnostní aktualizace
- VMWare bezpečnostní poradenství
- Intel bezpečnostní aktualizace
Potýkali jste se s některou z chyb a chyb uvedených v tomto článku? Dejte nám vědět v sekci komentářů níže.
