- Urzędnicy z Redmond zajęli się wieloma problemami związanymi z wprowadzeniem w tym miesiącu, więcej niż oczekiwano.
- Luka, która ma wpływ na Microsoft Exchange Server, została potraktowana jako krytyczna.
- Za krytyczne uznano również główną podatność, która faktycznie została odkryta w Microsoft Excel.
- Ten artykuł zawiera pełną listę aktualizacji zabezpieczeń wydanych w listopadzie 2021 r.
Tak, znowu nadeszła ta pora miesiąca, a firma Microsoft wydała 55 poprawek bezpieczeństwa, w tym łaty, które eliminują luki dnia zerowego aktywnie wykorzystywane na wolności.
Najnowsza seria poprawek giganta technologicznego zawiera poprawki dla sześciu krytycznych luk w zabezpieczeniach, 15 błędów zdalnego wykonania kodu (RCE), wycieki informacji i podnoszenie luk w zabezpieczeniach uprawnień, a także problemy, które mogą prowadzić do fałszowania i manipulacji.
Microsoft Azure, przeglądarka Edge oparta na Chromium, Microsoft Office i powiązane z nią produkty, Visual Studio, Exchange Server, Windows Kernel i Windows Defender to tylko niektóre z produktów, których celem jest łatki.
Naprawiono piętnaście błędów w zdalnym wykonywaniu kodu
Kolejny pracowity miesiąc dla programistów i deweloperów z Redmond, którzy wciąż zmagają się ze starymi i ciągle pojawiającymi się problemami.
Podczas gdy niektóre sprawy wymagały jedynie drobnych poprawek, inne miały ogromne znaczenie i zostały potraktowane jako takie przez firmę technologiczną
Niektóre z najciekawszych luk usuniętych w tej aktualizacji, wszystkie uważane za ważne, to:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). W przypadku aktywnego exploita ta luka ma wpływ na Microsoft Exchange Server i ze względu na nieprawidłową walidację argumentów poleceń cmdlet może prowadzić do RCE. Jednak osoby atakujące muszą zostać uwierzytelnione.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Ta luka, wykryta również jako wykorzystywana w środowisku naturalnym, została odkryta w programie Microsoft Excel i może zostać wykorzystana do obejścia kontroli bezpieczeństwa. Microsoft twierdzi, że okienko podglądu nie jest wektorem ataku. Obecnie żadna poprawka nie jest dostępna dla pakietu Microsoft Office 2019 dla komputerów Mac lub Microsoft Office LTSC dla komputerów Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Luka w przeglądarce 3D została upubliczniona. Błąd ten może zostać wykorzystany lokalnie do uruchomienia RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Inny znany problem, ta luka w zabezpieczeniach przeglądarki 3D może być również wykorzystana przez lokalnego atakującego w celu wykonania kodu.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Również ta luka w zabezpieczeniach, która została upubliczniona w protokole Windows Remote Desktop Protocol (RDP), może zostać wykorzystana do ujawnienia informacji.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Wreszcie, luka w protokole RDP, znana przed udostępnieniem łat, może być również wykorzystana lokalnie w celu wymuszenia wycieku informacji.
Jest to stosunkowo niewielka liczba luk usuniętych w listopadzie, porównując to wydanie z poprzednimi latami.
W zeszłym miesiącuMicrosoft rozwiązał 71 błędów, więc możemy uznać ten okres za dość spokojny. Na szczególną uwagę zasługują łatki dla łącznie czterech błędów dnia zerowego, z których jedna była aktywnie wykorzystywana na wolności, a trzy zostały upublicznione.
Jeśli cofniemy się nieco w czasie, Microsoft rozwiązał ponad 60 luk podczas wrześniowej łaty. Wśród łat była poprawka dla RCE w MSHTML.
I nie zapominajmy, że oprócz wtorkowego wydania oprogramowania firmy Microsoft, istnieją również inne firmy, które opublikowały aktualizacje zabezpieczeń, takie jak:
- Cegła suszona na słońcu aktualizacje bezpieczeństwa
- SOK ROŚLINNY aktualizacje bezpieczeństwa
- VMWare porady dotyczące bezpieczeństwa
- Intel aktualizacje bezpieczeństwa
Czy zmagałeś się z którymkolwiek z błędów i błędów wymienionych w tym artykule? Daj nam znać w sekcji komentarzy poniżej.
