- Redmond embedsmænd adresserede en masse problemer med denne måneds udrulning, mere end forventet.
- Den sårbarhed, der påvirker Microsoft Exchange Server, blev behandlet som en kritisk sårbarhed.
- Også betragtet som kritisk var en major sårbarhed, der faktisk blev fundet i Microsoft Excel.
- Denne artikel indeholder den komplette liste over sikkerhedsopdateringer, der blev udgivet i november 2021.
Ja, det er den tid på måneden igen, og Microsoft har udgivet 55 sikkerhedsrettelser, inklusive patches, der tackler nul-dages sårbarheder, der aktivt udnyttes i naturen.
Teknikgigantens seneste runde af patches har rettelser til seks kritiske sårbarheder, 15 remote code execution (RCE) fejl, informationslækager og sikkerhedsfejl for udvidelse af privilegier, samt problemer, der kan føre til spoofing og manipulation.
Microsoft Azure, den Chromium-baserede Edge-browser, Microsoft Office og dets tilknyttede produkter, Visual Studio, Exchange Server, Windows Kernel og Windows Defender er nogle af de produkter, som er målrettet af plastre.
Femten fejl til fjernudførelse af kode blev rettet
Endnu en travl måned for Redmond-programmører og -udviklere, da de bliver ved med at kæmpe mod gamle og konstant opståede problemer.
Mens nogle forhold kun behøvede mindre justeringer, var andre af afgørende betydning og blev behandlet som sådan af teknologivirksomheden
Nogle af de mest interessante sårbarheder, der er løst i denne opdatering, som alle anses for vigtige, er:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Under aktiv udnyttelse påvirker denne sårbarhed Microsoft Exchange Server og kan på grund af forkert validering af cmdlet-argumenter føre til RCE. Angribere skal dog være autentificeret.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Også opdaget som udnyttet i naturen, blev denne sårbarhed fundet i Microsoft Excel og kan bruges til at omgå sikkerhedskontrol. Microsoft siger, at forhåndsvisningsruden ikke er en angrebsvektor. Ingen patch er i øjeblikket tilgængelig til Microsoft Office 2019 til Mac eller Microsoft Office LTSC til Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). En 3D Viewer-sårbarhed offentliggjort, denne fejl kan udnyttes lokalt til at udløse RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Et andet kendt problem, denne 3D Viewer-sikkerhedsfejl, kan også blive bevæbnet af en lokal angriber til kodeudførelsesformål.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Denne sikkerhedsfejl, som også er offentliggjort i Windows Remote Desktop Protocol (RDP), kan bruges til videregivelse af oplysninger.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Endelig kan denne RDP-sårbarhed, kendt før patching var tilgængelig, også udnyttes lokalt til at fremtvinge et informationslæk.
Dette er et relativt lavt antal sårbarheder, der er løst i løbet af november måned, sammenlignet med denne udgivelse med tidligere års.
Sidste måned, Microsoft løste 71 fejl, så vi kan betragte dette som en ganske stille periode. Særligt bemærkelsesværdigt er patches for i alt fire nul-dages fejl, hvoraf en blev aktivt udnyttet i naturen, mens tre blev offentliggjort.
Hvis vi går lidt mere tilbage i tiden, tacklede Microsoft over 60 sårbarheder i løbet af September Patch Tuesday. Blandt patches var en rettelse til en RCE i MSHTML.
Og lad os ikke glemme, at der ved siden af Microsofts Patch Tuesday-softwareudgivelse er andre virksomheder, der også har offentliggjort sikkerhedsopdateringer, såsom:
- Adobe sikkerhedsopdateringer
- SAP sikkerhedsopdateringer
- VMWare sikkerhedsrådgivning
- Intel sikkerhedsopdateringer
Har du kæmpet med nogen af de fejl og fejl, der er anført i denne artikel? Fortæl os det i kommentarfeltet nedenfor.
