- Redmond yetkilileri, bu ayki sunumla ilgili beklenenden daha fazla soruna değindi.
- Microsoft Exchange Server'ı etkileyen güvenlik açığı kritik olarak değerlendirildi.
- Ayrıca kritik olarak kabul edilen büyük bir aslında Microsoft Excel'de bulunan güvenlik açığı.
- Bu makale, Kasım 2021'de yayınlanan güvenlik güncellemelerinin tam listesini içerir.
Evet, yine ayın o zamanı ve Microsoft, vahşi doğada aktif olarak kullanılan sıfırıncı gün güvenlik açıklarını ele alan yamalar da dahil olmak üzere 55 güvenlik düzeltmesi yayınladı.
Teknoloji devinin en son yamalarında altı kritik güvenlik açığı, 15 uzaktan kod yürütme (RCE) hatası, bilgi sızıntıları ve ayrıcalık güvenlik açıklarının yükselmesi ve yanı sıra kimlik sahtekarlığı ve kurcalamaya yol açabilecek sorunlar.
Microsoft Azure, Chromium tabanlı Edge tarayıcısı, Microsoft Office ve ilgili ürünleri, Visual Studio, Exchange Server, Windows Kernel ve Windows Defender, hedeflenen ürünlerden bazılarıdır. yamalar.
On beş uzaktan kod yürütme hatası düzeltildi
Redmond programcıları ve geliştiricileri için eski ve sürekli ortaya çıkan sorunlarla savaşmaya devam ederken yoğun bir ay daha.
Bazı meseleler sadece küçük ince ayarlara ihtiyaç duyarken, diğerleri son derece önemliydi ve teknoloji şirketi tarafından bu şekilde ele alındı.
Bu güncellemede çözülen ve tümü önemli kabul edilen en ilginç güvenlik açıklarından bazıları şunlardır:
- CVE-2021-42321: (CVSS: 3.1 8.8 / 7.7). Etkin istismar altında, bu güvenlik açığı Microsoft Exchange Server'ı etkiler ve cmdlet bağımsız değişkenlerinin yanlış doğrulanması nedeniyle RCE'ye yol açabilir. Ancak, saldırganların kimliğinin doğrulanması gerekir.
- CVE-2021-42292: (CVSS: 3.1 7.8 / 7.0). Vahşi doğada istismar edildiği de tespit edilen bu güvenlik açığı Microsoft Excel'de bulundu ve güvenlik denetimlerini atlatmak için kullanılabilir. Microsoft, Önizleme Bölmesinin bir saldırı vektörü olmadığını söylüyor. Mac için Microsoft Office 2019 veya Mac 2021 için Microsoft Office LTSC için şu anda herhangi bir yama bulunmamaktadır.
- CVE-2021-43209: (CVSS: 3.1 7.8 / 6.8). Herkese açık bir 3D Görüntüleyici güvenlik açığı, bu hata RCE'yi tetiklemek için yerel olarak kullanılabilir.
- CVE-2021-43208: (CVSS: 3.1 7.8 / 6.8). Bilinen başka bir sorun olan bu 3D Görüntüleyici güvenlik açığı, kod yürütme amacıyla yerel bir saldırgan tarafından da silahlandırılabilir.
- CVE-2021-38631: (CVSS: 3.0 4.4 / 3.9). Ayrıca herkese açık hale getirilen Windows Uzak Masaüstü Protokolü'nde (RDP) bulunan bu güvenlik açığı, bilgi ifşası için kullanılabilir.
- CVE-2021-41371: (CVSS: 3.1 4.4 / 3.9). Son olarak, yama kullanıma sunulmadan önce bilinen bu RDP güvenlik açığı, bir bilgi sızıntısını zorlamak için yerel olarak da kullanılabilir.
Bu, önceki yıllarla karşılaştırıldığında, Kasım ayı boyunca çözülen nispeten düşük sayıda güvenlik açığıdır.
Geçen ay, Microsoft 71 hatayı çözdü, bu yüzden bunu oldukça sessiz bir dönem olarak değerlendirebiliriz. Özellikle dikkat çekici olan, biri vahşi doğada aktif olarak sömürülen, üçü ise halka açık olan toplam dört sıfır gün kusuru için yamalar.
Zamanda biraz daha geriye gidersek, Microsoft Salı günü Eylül Yaması sırasında 60'tan fazla güvenlik açığını ele aldı. Yamalar arasında MSHTML'de bir RCE için bir düzeltme vardı.
Microsoft'un Patch Salı yazılım sürümünün yanı sıra güvenlik güncellemeleri yayınlayan başka şirketler de olduğunu unutmayalım, örneğin:
- Adobe güvenlik güncellemeleri
- SAP güvenlik güncellemeleri
- VMware güvenlik tavsiyeleri
- Intel güvenlik güncellemeleri
Bu makalede listelenen hata ve hatalardan herhangi biriyle mücadele ediyor musunuz? Aşağıdaki yorumlar bölümünde bize bildirin.
