- פקידי רדמונד התייחסו להרבה בעיות עם השקת החודש, יותר מהצפוי.
- הפגיעות שמשפיעה על Microsoft Exchange Server טופלה כאל פגיעות קריטית.
- כמו כן נחשב לקריטי היה רב סרן פגיעות שנמצאה בפועל ב-Microsoft Excel.
- מאמר זה מכיל את הרשימה המלאה של עדכוני אבטחה שהוצאו בנובמבר 2021.
כן, זה שוב הזמן הזה בחודש, ומיקרוסופט פרסמה 55 תיקוני אבטחה, כולל תיקונים שמתמודדים עם פגיעויות של יום אפס המנוצלות באופן פעיל בטבע.
בסבב התיקונים האחרון של ענקית הטכנולוגיה יש תיקונים לשש נקודות תורפה קריטיות, 15 באגים של ביצוע קוד מרחוק (RCE), דליפות מידע, והעלאת הרשאות ליקויי אבטחה, כמו גם בעיות שעלולות להוביל לזיוף ושיבול.
Microsoft Azure, דפדפן Edge מבוסס Chromium, Microsoft Office והמוצרים המשויכים לו, Visual Studio, Exchange Server, Windows Kernel ו-Windows Defender הם חלק מהמוצרים שממוקדים ב- טלאים.
15 באגים בביצוע קוד מרחוק תוקנו
עוד חודש עמוס עבור המתכנתים והמפתחים של רדמונד, שכן הם ממשיכים להילחם בבעיות ישנות ומתעוררות כל הזמן.
בעוד שחלק מהעניינים נזקקו רק לשינויים קלים, אחרים היו בעלי חשיבות עליונה והתייחסו אליהם ככאלה על ידי חברת הטכנולוגיה
כמה מהפגיעויות המעניינות ביותר שנפתרו בעדכון זה, כולן נחשבות חשובות, הן:
- CVE-2021-42321: (CVSS: 3.1 8.8 / 7.7). תחת ניצול אקטיבי, פגיעות זו משפיעה על Microsoft Exchange Server ובשל אימות לא תקין של ארגומנטים של cmdlet, עלולה להוביל ל-RCE. עם זאת, תוקפים חייבים להיות מאומתים.
- CVE-2021-42292: (CVSS: 3.1 7.8 / 7.0). זוהתה גם כמנוצלת בטבע, פגיעות זו נמצאה ב-Microsoft Excel וניתן להשתמש בה כדי לעקוף בקרות אבטחה. מיקרוסופט אומרת שחלונית התצוגה המקדימה אינה וקטור התקפה. כרגע אין תיקון זמין עבור Microsoft Office 2019 עבור Mac או Microsoft Office LTSC עבור Mac 2021.
- CVE-2021-43209: (CVSS: 3.1 7.8 / 6.8). פגיעות ב-3D Viewer שפורשה לציבור, ניתן לנצל את הבאג הזה באופן מקומי כדי להפעיל RCE.
- CVE-2021-43208: (CVSS: 3.1 7.8 / 6.8). בעיה ידועה נוספת, פגם האבטחה הזה ב-3D Viewer יכול להיות גם מיושם על ידי תוקף מקומי למטרות ביצוע קוד.
- CVE-2021-38631: (CVSS: 3.0 4.4 / 3.9). כמו כן, ניתן להשתמש בפגם האבטחה הזה, שנמצא בפרוטוקול שולחן העבודה המרוחק של Windows (RDP), לגילוי מידע.
- CVE-2021-41371: (CVSS: 3.1 4.4 / 3.9). לבסוף, פגיעות RDP זו, הידועה לפני שהתיקון היה זמין, יכולה להיות מנוצלת גם באופן מקומי כדי לאלץ דליפת מידע.
זהו מספר נמוך יחסית של פגיעויות שנפתרו במהלך חודש נובמבר, בהשוואה למהדורה זו לאלו של שנים קודמות.
חודש שעבר, מיקרוסופט פתרה 71 באגים, כך שנוכל להתייחס לתקופה שקטה למדי. ראוי לציין במיוחד טלאים עבור סך של ארבעה פגמים של יום אפס, אחד מהם נוצל באופן פעיל בטבע, בעוד ששלושה פורסמו לציבור.
אם נחזור קצת יותר אחורה בזמן, מיקרוסופט התמודדה עם למעלה מ-60 נקודות תורפה במהלך התיקון של ספטמבר ביום שלישי. בין התיקונים היה תיקון ל-RCE ב-MSHTML.
ובל נשכח שלצד מהדורת התוכנה Patch Tuesday של Microsoft, ישנן חברות אחרות שפרסמו גם עדכוני אבטחה, כגון:
- אדובי עדכוני אבטחה
- לְהַתִישׁ עדכוני אבטחה
- VMWare עצות אבטחה
- אינטל עדכוני אבטחה
האם נאבקת באחת מהשגיאות והבאגים המפורטים במאמר זה? ספר לנו בקטע ההערות למטה.
