Microsoft rilascia correzioni per 55 bug nella Patch Tuesday di novembre 2021

Sì, è di nuovo quel periodo del mese e Microsoft ha rilasciato 55 correzioni di sicurezza, incluse patch che affrontano le vulnerabilità zero-day attivamente sfruttate in natura.

L'ultimo round di patch del gigante della tecnologia ha correzioni per sei vulnerabilità critiche, 15 bug di esecuzione di codice remoto (RCE), fughe di informazioni ed elevazione dei difetti di sicurezza dei privilegi, nonché problemi che potrebbero portare a spoofing e manomissione.

Microsoft Azure, il browser Edge basato su Chromium, Microsoft Office e i suoi prodotti associati, Visual Studio, Exchange Server, Windows Kernel e Windows Defender sono alcuni dei prodotti presi di mira da cerotti.

Sono stati corretti quindici bug di esecuzione del codice remoto

Un altro mese impegnativo per i programmatori e gli sviluppatori di Redmond, che continuano a combattere problemi vecchi e costantemente emergenti.

Mentre alcune questioni richiedevano solo piccole modifiche, altre erano di fondamentale importanza e sono state trattate come tali dall'azienda tecnologica

Alcune delle vulnerabilità più interessanti risolte in questo aggiornamento, tutte ritenute importanti, sono:

• CVE-2021-42321: (CVSS: 3.1 8.8 / 7.7). Sotto exploit attivo, questa vulnerabilità ha un impatto su Microsoft Exchange Server e, a causa di una convalida errata degli argomenti del cmdlet, può portare a RCE. Tuttavia, gli aggressori devono essere autenticati.
• CVE-2021-42292: (CVSS: 3.1 7.8 / 7.0). Rilevata anche come sfruttata in natura, questa vulnerabilità è stata rilevata in Microsoft Excel e può essere utilizzata per eludere i controlli di sicurezza. Microsoft afferma che il riquadro di anteprima non è un vettore di attacco. Nessuna patch è attualmente disponibile per Microsoft Office 2019 per Mac o Microsoft Office LTSC per Mac 2021.
• CVE-2021-43209: (CVSS: 3.1 7.8 / 6.8). Una vulnerabilità del visualizzatore 3D resa pubblica, questo bug può essere sfruttato localmente per attivare RCE.
• CVE-2021-43208: (CVSS: 3.1 7.8 / 6.8). Un altro problema noto, questa falla di sicurezza del visualizzatore 3D può anche essere utilizzata come arma da un utente malintenzionato locale per scopi di esecuzione del codice.
• CVE-2021-38631: (CVSS: 3.0 4.4 / 3.9). Anche reso pubblico, questo difetto di sicurezza, trovato nel protocollo Windows Remote Desktop Protocol (RDP), può essere utilizzato per la divulgazione di informazioni.
• CVE-2021-41371: (CVSS: 3.1 4.4 / 3.9). Infine, questa vulnerabilità RDP, nota prima che fosse disponibile la patch, può essere sfruttata anche localmente per forzare una fuga di informazioni.

Si tratta di un numero relativamente basso di vulnerabilità risolte durante il mese di novembre, confrontando questa versione con quelle degli anni precedenti.

Lo scorso mese, Microsoft ha risolto 71 bug, quindi possiamo considerare questo un periodo abbastanza tranquillo. Di particolare rilievo sono le patch per un totale di quattro falle zero-day, una delle quali è stata attivamente sfruttata in natura, mentre tre sono state rese pubbliche.

Se torniamo un po' indietro nel tempo, Microsoft ha affrontato oltre 60 vulnerabilità durante il Patch Tuesday di settembre. Tra le patch c'era una correzione per un RCE in MSHTML.

E non dimentichiamo che oltre al rilascio del software Patch Tuesday di Microsoft, ci sono anche altre aziende che hanno pubblicato aggiornamenti di sicurezza, come:

• Adobe aggiornamenti di sicurezza
• LINFA aggiornamenti di sicurezza
• VMWare avvisi di sicurezza
• Intel aggiornamenti di sicurezza

---

Hai avuto problemi con qualcuno degli errori e dei bug elencati in questo articolo? Fatecelo sapere nella sezione commenti qui sotto.