- Uradniki Redmonda so z uvedbo tega meseca obravnavali veliko težav, več kot je bilo pričakovano.
- Ranljivost, ki vpliva na strežnik Microsoft Exchange Server, je bila obravnavana kot kritična.
- Prav tako je veljal za kritičnega ranljivost, ki je bila dejansko najdena v Microsoft Excelu.
- Ta članek vsebuje celoten seznam varnostnih posodobitev, ki so bile izdane novembra 2021.
Da, spet je tisti čas v mesecu in Microsoft je izdal 55 varnostnih popravkov, vključno s popravki, ki obravnavajo ranljivosti ničelnega dne, ki se aktivno izkoriščajo v naravi.
Najnovejši krog popravkov tehnološkega velikana vsebuje popravke za šest kritičnih ranljivosti, 15 napak pri izvajanju kode na daljavo (RCE), puščanje informacij in povišanje varnostnih pomanjkljivosti privilegijev ter težave, ki bi lahko vodile do ponarejanja in nedovoljenega poseganja.
Microsoft Azure, brskalnik Edge, ki temelji na Chromiumu, Microsoft Office in z njim povezani izdelki Visual Studio, Exchange Server, Windows Kernel in Windows Defender so nekateri izdelki, na katere cilja obliži.
Odpravljenih je bilo petnajst napak pri izvajanju kode na daljavo
Še en naporen mesec za programerje in razvijalce iz Redmonda, saj se še naprej borijo s starimi in nenehno nastajajočimi težavami.
Medtem ko so nekatere zadeve zahtevale le manjše popravke, so bile druge izjemnega pomena in jih je tehnološko podjetje obravnavalo kot take.
Nekatere najbolj zanimive ranljivosti, odpravljene v tej posodobitvi, ki se vse štejejo za pomembne, so:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Pri aktivnem izkoriščanju ta ranljivost vpliva na strežnik Microsoft Exchange Server in lahko zaradi nepravilnega preverjanja argumentov cmdlet povzroči RCE. Vendar pa morajo biti napadalci potrjeni.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Ta ranljivost, ki je bila zaznana tudi kot izkoriščena v naravi, je bila najdena v Microsoft Excelu in jo je mogoče uporabiti za izogibanje varnostnim nadzorom. Microsoft pravi, da podokno za predogled ni vektor napada. Trenutno ni na voljo noben popravek za Microsoft Office 2019 za Mac ali Microsoft Office LTSC za Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Zaradi ranljivosti v pregledovalniku 3D, ki je javno objavljena, je ta hrošč mogoče izkoristiti lokalno za sprožitev RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Druga znana težava je, da lahko to varnostno napako pregledovalnika 3D uporabi tudi lokalni napadalec za namene izvajanja kode.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Ta varnostna napaka, ki jo najdemo v protokolu oddaljenega namizja Windows (RDP), se lahko uporablja tudi za razkritje informacij.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Nazadnje, to ranljivost RDP, ki je bila znana, preden je bilo popravek na voljo, se lahko izkoristi tudi lokalno, da povzroči uhajanje informacij.
To je relativno majhno število ranljivosti, odpravljenih v mesecu novembru, če primerjamo to izdajo s tistimi iz prejšnjih let.
Prejšnji mesec, je Microsoft razrešil 71 napak, zato lahko štejemo, da je to precej mirno obdobje. Posebej velja omeniti popravke za skupno štiri napake ničelnega dne, od katerih se je ena aktivno izkoriščala v naravi, tri pa so bile javno objavljene.
Če se vrnemo še malo nazaj, se je Microsoft med septembrskim popravkom v torek lotil več kot 60 ranljivosti. Med popravki je bil popravek za RCE v MSHTML.
In ne pozabimo, da poleg Microsoftove izdaje programske opreme Patch Tuesday obstajajo tudi druga podjetja, ki so objavila varnostne posodobitve, kot so:
- Adobe varnostne posodobitve
- SAP varnostne posodobitve
- VMWare varnostni nasveti
- Intel varnostne posodobitve
Ali ste se spopadali s katero od napak in hroščev, navedenih v tem članku? Sporočite nam v spodnjem razdelku za komentarje.
