- Funcionários de Redmond abordaram muitos problemas com o lançamento deste mês, mais do que o esperado.
- A vulnerabilidade que afeta o Microsoft Exchange Server foi tratada como crítica.
- Também considerado crítico foi um importante vulnerabilidade que foi realmente encontrada no Microsoft Excel.
- Este artigo contém a lista completa de atualizações de segurança lançadas em novembro de 2021.
Sim, é aquela época do mês novamente, e a Microsoft lançou 55 correções de segurança, incluindo patches que lidam com vulnerabilidades de dia zero ativamente exploradas em estado selvagem.
A última rodada de patches da gigante da tecnologia tem correções para seis vulnerabilidades críticas, 15 bugs de execução remota de código (RCE), vazamentos de informações e falhas de segurança de elevação de privilégios, bem como problemas que podem levar à falsificação e adulteração.
Microsoft Azure, o navegador Edge baseado em Chromium, Microsoft Office e seus produtos associados, Visual Studio, Exchange Server, Windows Kernel e Windows Defender são alguns dos produtos direcionados pela patches.
Quinze bugs de execução remota de código foram corrigidos
Mais um mês agitado para programadores e desenvolvedores de Redmond, que continuam lutando contra problemas antigos e constantemente emergentes.
Embora alguns assuntos precisassem apenas de pequenos ajustes, outros foram de extrema importância e foram tratados como tal pela empresa de tecnologia
Algumas das vulnerabilidades mais interessantes resolvidas nesta atualização, todas consideradas importantes, são:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Sob exploração ativa, essa vulnerabilidade afeta o Microsoft Exchange Server e, devido à validação inadequada de argumentos de cmdlet, pode levar ao RCE. No entanto, os invasores devem ser autenticados.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Também detectada como explorada em estado selvagem, esta vulnerabilidade foi encontrada no Microsoft Excel e pode ser usada para contornar os controles de segurança. A Microsoft diz que o Preview Pane não é um vetor de ataque. Nenhum patch está disponível atualmente para Microsoft Office 2019 para Mac ou Microsoft Office LTSC para Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Uma vulnerabilidade do visualizador 3D tornada pública, esse bug pode ser explorado localmente para acionar o RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Outro problema conhecido, essa falha de segurança do visualizador 3D também pode ser transformada em arma por um invasor local para fins de execução de código.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Também tornada pública, essa falha de segurança, encontrada no Windows Remote Desktop Protocol (RDP), pode ser usada para divulgação de informações.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Finalmente, esta vulnerabilidade RDP, conhecida antes do patch estar disponível, também pode ser explorada localmente para forçar um vazamento de informações.
Este é um número relativamente baixo de vulnerabilidades resolvidas durante o mês de novembro, comparando esta versão com as dos anos anteriores.
Mês passado, A Microsoft resolveu 71 bugs, então podemos considerar este um período bastante silencioso. Digno de nota são os patches para um total de quatro falhas de dia zero, uma das quais estava sendo ativamente explorada na natureza, enquanto três foram tornadas públicas.
Se voltarmos um pouco mais no tempo, a Microsoft abordou mais de 60 vulnerabilidades durante o Patch Tuesday de setembro. Entre os patches estava uma correção para um RCE no MSHTML.
E não vamos esquecer que junto com o lançamento do software Patch Tuesday da Microsoft, existem outras empresas que publicaram atualizações de segurança, como:
- Adobe atualizações de segurança
- SEIVA atualizações de segurança
- VMWare avisos de segurança
- Intel atualizações de segurança
Você tem lutado com algum dos erros e bugs listados neste artigo? Deixe-nos saber na seção de comentários abaixo.
