- Redmond-tjenestemenn tok opp mange problemer med denne månedens utrulling, mer enn forventet.
- Sårbarheten som påvirker Microsoft Exchange Server ble behandlet som en kritisk.
- Også ansett som kritisk var en major sårbarhet som faktisk ble funnet i Microsoft Excel.
- Denne artikkelen inneholder den fullstendige listen over sikkerhetsoppdateringer som ble utgitt i november 2021.
Ja, det er den tiden på måneden igjen, og Microsoft har gitt ut 55 sikkerhetsreparasjoner, inkludert patcher som takler nulldagssårbarheter som aktivt utnyttes i naturen.
Teknikgigantens siste runde med oppdateringer har reparasjoner for seks kritiske sårbarheter, 15 feil ved ekstern kjøring av kode (RCE), informasjonslekkasjer, og sikkerhetsfeil for heving av privilegier, samt problemer som kan føre til forfalskning og tukling.
Microsoft Azure, den Chromium-baserte Edge-nettleseren, Microsoft Office og tilhørende produkter, Visual Studio, Exchange Server, Windows Kernel og Windows Defender er noen av produktene som er målrettet mot lapper.
Femten eksterne kodeutførelsesfeil ble fikset
Nok en travel måned for Redmond-programmerere og utviklere, ettersom de fortsetter å kjempe mot gamle og stadig nye problemer.
Mens noen saker bare trengte mindre justeringer, var andre av største betydning og ble behandlet som sådan av teknologiselskapet
Noen av de mest interessante sårbarhetene som er løst i denne oppdateringen, som alle anses som viktige, er:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Under aktiv utnyttelse påvirker dette sikkerhetsproblemet Microsoft Exchange Server og kan på grunn av feil validering av cmdlet-argumenter føre til RCE. Angripere må imidlertid være autentisert.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Denne sårbarheten ble også oppdaget som utnyttet i naturen, og ble funnet i Microsoft Excel og kan brukes til å omgå sikkerhetskontroller. Microsoft sier at forhåndsvisningsruten ikke er en angrepsvektor. Ingen oppdatering er for øyeblikket tilgjengelig for Microsoft Office 2019 for Mac eller Microsoft Office LTSC for Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). En 3D Viewer-sårbarhet som er offentliggjort, denne feilen kan utnyttes lokalt for å utløse RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Et annet kjent problem, denne 3D Viewer-sikkerhetsfeilen, kan også bli bevæpnet av en lokal angriper for kodekjøringsformål.
- CVE-2021-38631: (CVSS: 3.0 4.4 / 3.9). Også offentliggjort, denne sikkerhetsfeilen, som finnes i Windows Remote Desktop Protocol (RDP), kan brukes til informasjonsavsløring.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Til slutt kan denne RDP-sårbarheten, kjent før patching var tilgjengelig, også utnyttes lokalt for å tvinge frem en informasjonslekkasje.
Dette er et relativt lavt antall sårbarheter som ble løst i løpet av november måned, sammenlignet med denne utgivelsen med tidligere år.
Forrige måned, Microsoft løste 71 feil, så vi kan vurdere dette som en ganske rolig periode. Spesielt å merke seg er patcher for totalt fire nulldagers feil, hvorav en ble aktivt utnyttet i naturen, mens tre ble offentliggjort.
Hvis vi går litt mer tilbake i tid, taklet Microsoft over 60 sårbarheter under September Patch Tuesday. Blant oppdateringene var en rettelse for en RCE i MSHTML.
Og la oss ikke glemme at ved siden av Microsofts Patch Tuesday-programvareutgivelse, er det andre selskaper som også har publisert sikkerhetsoppdateringer, for eksempel:
- Adobe sikkerhetsoppdateringer
- SEVJE sikkerhetsoppdateringer
- VMWare sikkerhetsråd
- Intel sikkerhetsoppdateringer
Har du slitt med noen av feilene og feilene som er oppført i denne artikkelen? Gi oss beskjed i kommentarfeltet nedenfor.
