- Dužnosnici Redmonda riješili su mnogo problema s ovomjesečnim uvođenjem, više nego što se očekivalo.
- Ranjivost koja utječe na Microsoft Exchange Server tretirana je kao kritična.
- Također se smatra kritičnim bio je glavni ranjivost koja je zapravo pronađena u Microsoft Excelu.
- Ovaj članak sadrži potpuni popis sigurnosnih ažuriranja izdanih u studenom 2021.
Da, ponovno je to doba u mjesecu i Microsoft je objavio 55 sigurnosnih popravaka, uključujući zakrpe koje rješavaju ranjivosti nultog dana koje se aktivno iskorištavaju u divljini.
Najnovija serija zakrpa tehnološkog diva ima popravke za šest kritičnih ranjivosti, 15 grešaka u daljinskom izvršavanju koda (RCE), curenje informacija i podizanje sigurnosnih nedostataka privilegija, kao i probleme koji bi mogli dovesti do lažiranja i neovlaštenog pristupa.
Microsoft Azure, preglednik Edge baziran na Chromiumu, Microsoft Office i povezani proizvodi Visual Studio, Exchange Server, Windows Kernel i Windows Defender neki su od proizvoda na koje cilja zakrpe.
Ispravljeno je petnaest grešaka u daljinskom izvršavanju koda
Još jedan naporan mjesec za Redmond programere i programere jer se i dalje bore sa starim problemima koji se stalno pojavljuju.
Dok su neke stvari zahtijevale samo manje izmjene, druge su bile od iznimne važnosti i kao takve ih je tretirala tehnološka tvrtka
Neke od najzanimljivijih ranjivosti riješenih u ovom ažuriranju, koje se sve smatraju važnima, su:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Pod aktivnim iskorištavanjem, ova ranjivost utječe na Microsoft Exchange Server i zbog nepravilne provjere valjanosti cmdlet argumenata može dovesti do RCE-a. Međutim, napadači moraju biti provjereni.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Također otkrivena kao iskorištavana u divljini, ova ranjivost je pronađena u Microsoft Excelu i može se koristiti za zaobilaženje sigurnosnih kontrola. Microsoft kaže da Okno za pregled nije vektor napada. Trenutno nije dostupna zakrpa za Microsoft Office 2019 za Mac ili Microsoft Office LTSC za Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Javna ranjivost 3D Viewera, ovaj se bug može lokalno iskoristiti za pokretanje RCE-a.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Još jedan poznati problem, ovaj sigurnosni propust 3D Viewera također može biti naoružan od strane lokalnog napadača u svrhu izvršavanja koda.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Također javno objavljen, ovaj sigurnosni propust, koji se nalazi u Windows Remote Desktop Protocolu (RDP), može se koristiti za otkrivanje informacija.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Konačno, ova ranjivost RDP-a, poznata prije nego što je zakrpa bila dostupna, također se može iskoristiti lokalno kako bi se došlo do curenja informacija.
Ovo je relativno mali broj ranjivosti riješenih tijekom mjeseca studenog, uspoređujući ovo izdanje s onima iz prethodnih godina.
Prošli mjesec, Microsoft je riješio 71 bug, tako da ovo možemo smatrati prilično mirnim razdobljem. Posebno treba istaknuti zakrpe za ukupno četiri propusta nultog dana, od kojih se jedna aktivno iskorištavala u divljini, dok su tri objavljena.
Ako se još malo vratimo u prošlost, Microsoft je riješio preko 60 ranjivosti tijekom rujanske zakrpe u utorak. Među zakrpama je bio i popravak za RCE u MSHTML-u.
I ne zaboravimo da uz Microsoftovo izdanje softvera Patch Tuesday, postoje i druge tvrtke koje su objavile sigurnosna ažuriranja, kao što su:
- Adobe sigurnosna ažuriranja
- SAP sigurnosna ažuriranja
- VMWare sigurnosni savjeti
- Intel sigurnosna ažuriranja
Jeste li se borili s nekom od pogrešaka i bugova navedenih u ovom članku? Javite nam u odjeljku za komentare u nastavku.
