- Oficialii de la Redmond au abordat o mulțime de probleme cu lansarea din această lună, mai mult decât se aștepta.
- Vulnerabilitatea care afectează Microsoft Exchange Server a fost tratată ca una critică.
- De asemenea, considerat critic a fost un major vulnerabilitate care a fost de fapt găsită în Microsoft Excel.
- Acest articol conține lista completă a actualizărilor de securitate care au fost emise în noiembrie 2021.
Da, este din nou acel moment al lunii, iar Microsoft a lansat 55 de remedieri de securitate, inclusiv patch-uri care abordează vulnerabilitățile zero-day exploatate activ în sălbăticie.
Cea mai recentă rundă de patch-uri a gigantului tehnologic are remedieri pentru șase vulnerabilități critice, 15 erori de execuție de cod la distanță (RCE), scurgeri de informații și deficiențe de securitate ridicate de privilegii, precum și probleme care ar putea duce la falsificare și falsificare.
Microsoft Azure, browserul Edge bazat pe Chromium, Microsoft Office și produsele asociate acestuia, Visual Studio, Exchange Server, Windows Kernel și Windows Defender sunt câteva dintre produsele vizate de petice.
Au fost remediate 15 erori de execuție a codului de la distanță
Încă o lună încărcată pentru programatorii și dezvoltatorii Redmond, deoarece aceștia continuă să lupte cu probleme vechi și care apar în mod constant.
În timp ce unele chestiuni necesitau doar modificări minore, altele au fost de o importanță capitală și au fost tratate ca atare de compania de tehnologie.
Unele dintre cele mai interesante vulnerabilități rezolvate în această actualizare, toate considerate importante, sunt:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Sub exploatare activă, această vulnerabilitate afectează Microsoft Exchange Server și, din cauza validării necorespunzătoare a argumentelor cmdlet-ului, poate duce la RCE. Cu toate acestea, atacatorii trebuie să fie autentificați.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). De asemenea, detectată ca fiind exploatată în sălbăticie, această vulnerabilitate a fost găsită în Microsoft Excel și poate fi folosită pentru a ocoli controalele de securitate. Microsoft spune că panoul de previzualizare nu este un vector de atac. În prezent, niciun patch nu este disponibil pentru Microsoft Office 2019 pentru Mac sau Microsoft Office LTSC pentru Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). O vulnerabilitate 3D Viewer făcută publică, această eroare poate fi exploatată local pentru a declanșa RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). O altă problemă cunoscută, această defecțiune de securitate 3D Viewer poate fi, de asemenea, armata de un atacator local în scopul executării codului.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). De asemenea, făcută publică, această defecțiune de securitate, găsită în Windows Remote Desktop Protocol (RDP), poate fi folosită pentru dezvăluirea informațiilor.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). În cele din urmă, această vulnerabilitate RDP, cunoscută înainte ca corecția să fie disponibilă, poate fi exploatată și local pentru a forța o scurgere de informații.
Acesta este un număr relativ scăzut de vulnerabilități rezolvate în luna noiembrie, comparând această versiune cu cele din anii precedenți.
Luna trecuta, Microsoft a rezolvat 71 de erori, așa că putem considera aceasta o perioadă destul de liniștită. De remarcat sunt patch-urile pentru un total de patru defecte zero-day, dintre care unul era exploatat activ în sălbăticie, în timp ce trei au fost făcute publice.
Dacă ne întoarcem puțin mai mult în timp, Microsoft a abordat peste 60 de vulnerabilități în timpul patch-ului de marți din septembrie. Printre patch-uri a fost o remediere pentru un RCE în MSHTML.
Și să nu uităm că, alături de lansarea software-ului Microsoft Patch Tuesday, există și alte companii care au publicat actualizări de securitate, cum ar fi:
- Chirpici actualizări de securitate
- SAP actualizări de securitate
- VMWare avizele de securitate
- Intel actualizări de securitate
Te-ai confruntat cu vreuna dintre erorile și erorile enumerate în acest articol? Anunțați-ne în secțiunea de comentarii de mai jos.
