- A redmondi tisztviselők a vártnál több problémát kezeltek az e havi bevezetéssel kapcsolatban.
- A Microsoft Exchange Servert érintő biztonsági rést kritikus sérülékenységként kezelték.
- Szintén kritikusnak tartott egy fő sérülékenység, amelyet valójában a Microsoft Excelben találtak.
- Ez a cikk a 2021 novemberében kiadott biztonsági frissítések teljes listáját tartalmazza.
Igen, ismét eljött a hónap ilyen időszaka, és a Microsoft 55 biztonsági javítást adott ki, köztük olyan javításokat, amelyek a vadonban aktívan kihasznált nulladik napi sebezhetőségeket kezelik.
A technológiai óriás legújabb javítási köre hat kritikus sérülékenységet, 15 távoli kódvégrehajtási (RCE) hibát tartalmaz, információszivárgások és a jogosultságok biztonsági hibáinak növelése, valamint olyan problémák, amelyek hamisításhoz és manipulációhoz vezethetnek.
A Microsoft Azure, a Chromium-alapú Edge böngésző, a Microsoft Office és a kapcsolódó termékek, a Visual A Studio, az Exchange Server, a Windows Kernel és a Windows Defender néhány olyan termék, amelyet megcéloz foltok.
Tizenöt távoli kódvégrehajtási hibát javítottak
Újabb mozgalmas hónap a redmondi programozók és fejlesztők számára, mivel folyamatosan küzdenek a régi és folyamatosan felmerülő problémákkal.
Míg néhány ügyben csak apróbb módosításokra volt szükség, mások kiemelkedően fontosak voltak, és a technológiai vállalat úgy kezelte őket.
A frissítésben kijavított legérdekesebb biztonsági rések közül néhány, amelyek mindegyike fontosnak tekinthető:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Aktív kihasználás esetén ez a biztonsági rés hatással van a Microsoft Exchange Serverre, és a parancsmag-argumentumok nem megfelelő érvényesítése miatt RCE-hez vezethet. A támadókat azonban hitelesíteni kell.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Ezt a sebezhetőséget a vadon is kihasználva találták meg a Microsoft Excelben, és a biztonsági ellenőrzések megkerülésére használható. A Microsoft szerint az előnézeti ablaktábla nem támadási vektor. Jelenleg nem érhető el javítás a Microsoft Office 2019 for Mac vagy a Microsoft Office LTSC for Mac 2021 számára.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). A 3D Viewer nyilvánossá tett sebezhetősége, ez a hiba helyileg kihasználható az RCE kiváltására.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Egy másik ismert probléma, a 3D Viewer biztonsági hibája egy helyi támadó által is fegyveressé teheti kódvégrehajtás céljából.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). A szintén nyilvánosságra hozott biztonsági hiba, amely a Windows Remote Desktop Protocolban (RDP) található, felhasználható információk közzétételére.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Végül, ez az RDP-sérülékenység, amely a javítás elérhetősége előtt ismert volt, helyileg is kihasználható információszivárgás kikényszerítésére.
Ez viszonylag alacsony számú sérülékenységet oldott meg november hónapban, összehasonlítva ezt a kiadást a korábbi évek kiadásaival.
Múlt hónap, a Microsoft 71 hibát oldott meg, így elég nyugodt időszaknak tekinthetjük ezt. Különös figyelmet kell fordítani az összesen négy nulladik napi hiba javítására, amelyek közül az egyiket a vadonban aktívan kihasználták, míg hármat nyilvánosságra hoztak.
Ha még egy kicsit visszamegyünk az időben, a Microsoft több mint 60 sebezhetőséget kezelt a szeptemberi javítási kedden. A javítások között szerepelt egy RCE javítása MSHTML-ben.
És ne felejtsük el, hogy a Microsoft Patch Tuesday szoftverkiadása mellett vannak más cégek is, amelyek biztonsági frissítéseket is közzétettek, például:
- Vályogtégla biztonsági frissítések
- NEDV biztonsági frissítések
- VMWare biztonsági tanácsok
- Intel biztonsági frissítések
Küzdött a cikkben felsorolt hibák valamelyikével? Tudassa velünk az alábbi megjegyzések részben.
