- Predstavitelia Redmondu riešili množstvo problémov s uvedením tohto mesiaca, viac, ako sa očakávalo.
- Zraniteľnosť, ktorá ovplyvňuje Microsoft Exchange Server, bola považovaná za kritickú.
- Za kritický bol považovaný aj major zraniteľnosť, ktorá bola skutočne nájdená v programe Microsoft Excel.
- Tento článok obsahuje úplný zoznam aktualizácií zabezpečenia, ktoré boli vydané v novembri 2021.
Áno, opäť je tu ten čas v mesiaci a spoločnosť Microsoft vydala 55 bezpečnostných opráv vrátane záplat, ktoré riešia zraniteľnosti nultého dňa aktívne využívané vo voľnej prírode.
Najnovšie kolo opráv tohto technologického giganta obsahuje opravy šiestich kritických zraniteľností, 15 chýb spustenia vzdialeného kódu (RCE), úniky informácií a zvýraznenie bezpečnostných nedostatkov privilégií, ako aj problémy, ktoré by mohli viesť k spoofingu a falšovaniu.
Microsoft Azure, prehliadač Edge založený na prehliadači Chromium, Microsoft Office a súvisiace produkty Visual Studio, Exchange Server, Windows Kernel a Windows Defender sú niektoré z produktov, na ktoré sa zameriava náplasti.
Opravených bolo 15 chýb spustenia kódu na diaľku
Ďalší rušný mesiac pre programátorov a vývojárov z Redmondu, pretože neustále bojujú so starými a neustále sa objavujúcimi problémami.
Zatiaľ čo niektoré záležitosti potrebovali len drobné úpravy, iné mali prvoradý význam a technologická spoločnosť s nimi tak zaobchádzala.
Niektoré z najzaujímavejších zraniteľností vyriešených v tejto aktualizácii, ktoré sa všetky považujú za dôležité, sú:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Pri aktívnom využívaní má táto zraniteľnosť vplyv na server Microsoft Exchange a v dôsledku nesprávneho overenia argumentov cmdlet môže viesť k RCE. Útočníci však musia byť overení.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Táto chyba zabezpečenia, ktorá bola tiež zistená ako zneužitá vo voľnej prírode, bola nájdená v programe Microsoft Excel a možno ju použiť na obídenie bezpečnostných kontrol. Microsoft hovorí, že panel náhľadu nie je vektorom útoku. Pre Microsoft Office 2019 pre Mac alebo Microsoft Office LTSC pre Mac 2021 momentálne nie je k dispozícii žiadna oprava.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Keďže bola zverejnená chyba zabezpečenia 3D Viewer, táto chyba sa dá zneužiť lokálne na spustenie RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Ďalší známy problém, túto bezpečnostnú chybu 3D Viewer, môže byť tiež zneužitá miestnym útočníkom na účely spustenia kódu.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Táto bezpečnostná chyba, ktorá sa nachádza v protokole Windows Remote Desktop Protocol (RDP), je tiež zverejnená a môže byť použitá na sprístupnenie informácií.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Nakoniec, túto zraniteľnosť RDP, ktorá bola známa ešte predtým, ako bola k dispozícii oprava, možno zneužiť aj lokálne na vynútenie úniku informácií.
Ide o relatívne nízky počet zraniteľností vyriešených počas mesiaca november, v porovnaní s týmto vydaním z predchádzajúcich rokov.
Minulý mesiac, Microsoft vyriešil 71 chýb, takže toto obdobie môžeme považovať za celkom pokojné. Zvlášť pozoruhodné sú záplaty pre celkovo štyri chyby zero-day, z ktorých jedna bola aktívne využívaná vo voľnej prírode, zatiaľ čo tri boli zverejnené.
Ak sa vrátime späť v čase, Microsoft počas septembrového opravného utorka riešil viac ako 60 zraniteľností. Medzi opravami bola oprava RCE v MSHTML.
A nezabúdajme, že popri vydaní softvéru Patch Tuesday od spoločnosti Microsoft existujú aj ďalšie spoločnosti, ktoré zverejnili aktualizácie zabezpečenia, ako napríklad:
- Adobe bezpečnostné aktualizácie
- SAP bezpečnostné aktualizácie
- VMWare bezpečnostné rady
- Intel bezpečnostné aktualizácie
Stretli ste sa s niektorou z chýb a chýb uvedených v tomto článku? Dajte nám vedieť v sekcii komentárov nižšie.
