- Redmond-tjänstemän tog upp många problem med denna månads utrullning, mer än väntat.
- Sårbarheten som påverkar Microsoft Exchange Server behandlades som en kritisk sådan.
- Också ansett som kritisk var en major sårbarhet som faktiskt hittades i Microsoft Excel.
- Den här artikeln innehåller den fullständiga listan över säkerhetsuppdateringar som utfärdades i november 2021.
Ja, det är den tiden på månaden igen, och Microsoft har släppt 55 säkerhetskorrigeringar, inklusive patchar som tar itu med nolldagars sårbarheter som aktivt utnyttjas i det vilda.
Teknikjättens senaste omgång av patchar har korrigeringar för sex kritiska sårbarheter, 15 buggar för fjärrkodexekvering (RCE), informationsläckor och säkerhetsbrister för höjning av privilegier, samt problem som kan leda till spoofing och manipulering.
Microsoft Azure, den Chromium-baserade Edge-webbläsaren, Microsoft Office och dess associerade produkter, Visual Studio, Exchange Server, Windows Kernel och Windows Defender är några av produkterna som är inriktade på plåster.
Femton felkörning av fjärrkod har åtgärdats
Ännu en hektisk månad för Redmonds programmerare och utvecklare, eftersom de fortsätter att kämpa mot gamla och ständigt uppkommande problem.
Medan vissa ärenden bara behövde mindre justeringar, var andra av största vikt och behandlades som sådana av teknikföretaget
Några av de mest intressanta sårbarheterna som lösts i den här uppdateringen, alla bedömda som viktiga, är:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Under aktiv exploatering påverkar denna sårbarhet Microsoft Exchange Server och kan på grund av felaktig validering av cmdlet-argument leda till RCE. Angripare måste dock autentiseras.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Denna sårbarhet upptäcktes också som utnyttjad i naturen och hittades i Microsoft Excel och kan användas för att kringgå säkerhetskontroller. Microsoft säger att förhandsgranskningsrutan inte är en attackvektor. Ingen patch är för närvarande tillgänglig för Microsoft Office 2019 för Mac eller Microsoft Office LTSC för Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). En 3D Viewer-sårbarhet som offentliggjorts, denna bugg kan utnyttjas lokalt för att utlösa RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Ett annat känt problem, denna säkerhetsbrist i 3D Viewer kan också beväpnas av en lokal angripare för kodexekveringsändamål.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Denna säkerhetsbrist, som finns i Windows Remote Desktop Protocol (RDP), som också offentliggörs, kan användas för att lämna ut information.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Slutligen kan denna RDP-sårbarhet, känd innan patchning var tillgänglig, också utnyttjas lokalt för att tvinga fram en informationsläcka.
Detta är ett relativt lågt antal sårbarheter som lösts under november månad, jämfört med den här versionen med tidigare år.
Förra månaden, Microsoft löste 71 buggar, så vi kan betrakta detta som en ganska lugn period. Särskilt anmärkningsvärt är lappar för totalt fyra nolldagarsbrister, varav en exploaterades aktivt i naturen, medan tre offentliggjordes.
Om vi går tillbaka i tiden lite mer, tacklade Microsoft över 60 sårbarheter under September Patch Tuesday. Bland patcharna fanns en fix för en RCE i MSHTML.
Och låt oss inte glömma att vid sidan av Microsofts programvaruversion Patch Tuesday, finns det andra företag som också har publicerat säkerhetsuppdateringar, som:
- Adobe säkerhetsuppdateringar
- SAV säkerhetsuppdateringar
- VMWare säkerhetsrådgivning
- Intel säkerhetsuppdateringar
Har du kämpat med något av de fel och buggar som anges i den här artikeln? Låt oss veta i kommentarsfältet nedan.
