- В этом месяце официальные лица Редмонда решили множество проблем, больше, чем ожидалось.
- Уязвимость, затрагивающая Microsoft Exchange Server, рассматривалась как критическая.
- Также критически важным был уязвимость, которая действительно была обнаружена в Microsoft Excel.
- Эта статья содержит полный список обновлений безопасности, выпущенных в ноябре 2021 года.
Да, снова наступило то время месяца, и Microsoft выпустила 55 исправлений безопасности, включая исправления, которые устраняют уязвимости нулевого дня, активно эксплуатируемые в дикой природе.
В последнем раунде патчей технологического гиганта исправлены шесть критических уязвимостей, 15 ошибок удаленного выполнения кода (RCE), утечки информации и повышение привилегий, недостатки безопасности, а также проблемы, которые могут привести к подделке и подделке.
Microsoft Azure, браузер Edge на основе Chromium, Microsoft Office и связанные с ним продукты, Visual Studio, Exchange Server, ядро Windows и Защитник Windows - вот некоторые из продуктов, на которые нацелен патчи.
Исправлено пятнадцать ошибок удаленного выполнения кода.
Еще один напряженный месяц для программистов и разработчиков Redmond, поскольку они продолжают бороться со старыми и постоянно возникающими проблемами.
В то время как некоторые вопросы требовали лишь незначительных изменений, другие имели первостепенное значение и рассматривались технологической компанией как таковые.
Вот некоторые из наиболее интересных уязвимостей, устраненных в этом обновлении, которые считаются важными:
- CVE-2021-42321: (CVSS: 3.1 8.8 / 7.7). При активном эксплойте эта уязвимость затрагивает Microsoft Exchange Server и из-за неправильной проверки аргументов командлета может привести к RCE. Однако злоумышленники должны пройти аутентификацию.
- CVE-2021-42292: (CVSS: 3.1 7.8 / 7.0). Эта уязвимость, также обнаруженная как эксплуатируемая в «дикой природе», была обнаружена в Microsoft Excel и может использоваться для обхода средств контроля безопасности. Microsoft заявляет, что панель предварительного просмотра не является вектором атаки. В настоящее время нет исправлений для Microsoft Office 2019 для Mac или Microsoft Office LTSC для Mac 2021.
- CVE-2021-43209: (CVSS: 3.1 7.8 / 6.8). Обнародованная уязвимость 3D Viewer, эта ошибка может быть использована локально для запуска RCE.
- CVE-2021-43208: (CVSS: 3.1 7.8 / 6.8). Другая известная проблема, этот недостаток безопасности 3D Viewer, также может быть использован локальным злоумышленником для выполнения кода.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Обнародованная также проблема безопасности, обнаруженная в протоколе удаленного рабочего стола Windows (RDP), может использоваться для раскрытия информации.
- CVE-2021-41371: (CVSS: 3.1 4.4 / 3.9). Наконец, эта уязвимость RDP, известная до появления исправлений, также может быть использована локально, чтобы вызвать утечку информации.
Это относительно небольшое количество уязвимостей, устраненных в течение ноября, по сравнению с выпуском этого выпуска с выпусками предыдущих лет.
Прошлый месяц, Microsoft исправила 71 ошибку, так что мы можем считать это довольно спокойным периодом. Особо следует отметить исправления для четырех уязвимостей нулевого дня, одна из которых активно эксплуатировалась, а три были обнародованы.
Если мы вернемся немного назад во времени, Microsoft устранила более 60 уязвимостей во вторник сентябрьских исправлений. Среди исправлений было исправление для RCE в MSHTML.
И давайте не будем забывать, что наряду с выпуском программного обеспечения Microsoft Patch Tuesday есть и другие компании, которые также опубликовали обновления безопасности, например:
- Adobe обновления безопасности
- SAP обновления безопасности
- VMWare рекомендации по безопасности
- Intel обновления безопасности
Сталкивались ли вы с какими-либо ошибками и недочетами, перечисленными в этой статье? Дайте нам знать в комментариях ниже.
