- Redmondo pareigūnai išsprendė daug problemų, susijusių su šio mėnesio diegimu, daugiau nei tikėtasi.
- Pažeidžiamumas, turintis įtakos Microsoft Exchange Server, buvo traktuojamas kaip labai svarbus.
- Taip pat kritiniu laikomas pagrindinis pažeidžiamumą, kuris iš tikrųjų buvo rastas „Microsoft Excel“..
- Šiame straipsnyje pateikiamas visas saugos naujinimų, išleistų 2021 m. lapkričio mėn., sąrašas.
Taip, vėl tas mėnesio laikas, o „Microsoft“ išleido 55 saugos pataisas, įskaitant pataisas, kurios pašalina nulinės dienos pažeidžiamumą, aktyviai naudojamą gamtoje.
Naujausiame technologijų milžino pataisymų etape pataisyti šeši kritiniai pažeidžiamumai, 15 nuotolinio kodo vykdymo (RCE) klaidų, informacijos nutekėjimas ir privilegijų saugos trūkumų padidinimas, taip pat problemos, dėl kurių gali būti klastojama ir klastojama.
„Microsoft Azure“, „Chromium“ pagrindu sukurta „Edge“ naršyklė, „Microsoft Office“ ir su ja susiję produktai „Visual“. „Studio“, „Exchange Server“, „Windows Kernel“ ir „Windows Defender“ yra kai kurie produktai, kuriems taikoma programa pleistrai.
Ištaisyta penkiolika nuotolinio kodo vykdymo klaidų
Dar vienas įtemptas mėnuo Redmondo programuotojams ir kūrėjams, nes jie nuolat kovoja su senomis ir nuolat iškylančiomis problemomis.
Kai kuriems reikalams reikėjo tik nedidelių pataisymų, kiti buvo itin svarbūs, todėl technologijų įmonė juos taip traktavo.
Kai kurie įdomiausi pažeidžiamumai, ištaisyti šiame naujinime, kurie visi laikomi svarbiais, yra šie:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Aktyvaus išnaudojimo metu šis pažeidžiamumas paveikia „Microsoft Exchange Server“ ir dėl netinkamo cmdlet argumentų patvirtinimo gali sukelti RCE. Tačiau užpuolikai turi būti patvirtinti.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Šis pažeidžiamumas taip pat aptiktas kaip išnaudojamas laukinėje gamtoje, todėl buvo aptiktas „Microsoft Excel“ ir gali būti naudojamas siekiant apeiti saugos kontrolę. „Microsoft“ teigia, kad peržiūros sritis nėra atakos vektorius. Šiuo metu nėra pataisų, skirtų „Microsoft Office 2019“, skirtą „Mac“, arba „Microsoft Office LTSC“, skirtą „Mac 2021“.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). 3D vaizduoklio pažeidžiamumas paskelbtas viešai, todėl šią klaidą galima išnaudoti vietoje, kad suaktyvintų RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Kita žinoma problema – ši 3D vaizduoklės saugos klaida taip pat gali būti panaudota vietinio užpuoliko, kad galėtų vykdyti kodą.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Taip pat viešai paskelbta, kad ši saugos klaida, rasta „Windows Remote Desktop Protocol“ (RDP), gali būti naudojama informacijai atskleisti.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Galiausiai, šis KPP pažeidžiamumas, žinomas prieš pataisant, taip pat gali būti naudojamas lokaliai, siekiant priverstinai nutekėti informaciją.
Tai palyginti mažas pažeidžiamumų, pašalintų per lapkričio mėnesį, skaičius, lyginant šį leidimą su ankstesnių metų leidimais.
Praeitą mėnesį, „Microsoft“ išsprendė 71 klaidą, todėl šį laikotarpį galime laikyti gana ramiu. Ypatingą dėmesį reikia atkreipti į keturis nulinės dienos trūkumus, iš kurių vienas buvo aktyviai naudojamas laukinėje gamtoje, o trys buvo paskelbti viešai.
Jei grįšime į praeitį šiek tiek atgal, „Microsoft“ rugsėjo pataisų antradienį pašalino daugiau nei 60 pažeidžiamumų. Tarp pataisų buvo MSHTML RCE pataisymas.
Nepamirškime, kad kartu su „Microsoft Patch Two“ programinės įrangos leidimu yra ir kitų įmonių, kurios taip pat paskelbė saugos naujinimus, pavyzdžiui:
- Adobe saugos naujinimai
- SAP saugos naujinimai
- VMWare saugumo patarimai
- Intel saugos naujinimai
Ar susidūrėte su kokia nors iš šiame straipsnyje išvardytų klaidų ir klaidų? Praneškite mums toliau pateiktame komentarų skyriuje.
