- Чиновники Редмонда вирішили багато проблем із запуском цього місяця, більше, ніж очікувалося.
- Уразливість, яка впливає на Microsoft Exchange Server, розглядалася як критична.
- Критичним також вважався основним вразливість, яка насправді була знайдена в Microsoft Excel.
- Ця стаття містить повний список оновлень безпеки, які були випущені в листопаді 2021 року.
Так, знову той час місяця, і Microsoft випустила 55 виправлень безпеки, включаючи виправлення, які усувають уразливості нульового дня, які активно експлуатуються в дикій природі.
Останній цикл виправлень технічного гіганта містить виправлення шести критичних вразливостей, 15 помилок віддаленого виконання коду (RCE), витоки інформації та порушення безпеки привілеїв, а також проблеми, які можуть призвести до підробки та фальсифікації.
Microsoft Azure, браузер Edge на основі Chromium, Microsoft Office та пов’язані з ним продукти Visual Studio, Exchange Server, Windows Kernel і Windows Defender є деякими з продуктів, на які націлені патчі.
Виправлено 15 помилок віддаленого виконання коду
Ще один насичений місяць для програмістів і розробників Редмонда, оскільки вони продовжують боротися зі старими та постійно виникаючими проблемами.
Хоча деякі питання вимагали лише незначних змін, інші мали першорядне значення і розглядалися як такі технологічною компанією
Деякі з найцікавіших уразливостей, усунених у цьому оновленні, які вважаються важливими, є:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Під час активного використання ця вразливість впливає на Microsoft Exchange Server і через неправильну перевірку аргументів командлета може призвести до RCE. Однак зловмисники мають бути аутентифіковані.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Ця вразливість також виявлена як експлуатована в дикій природі. Ця вразливість була знайдена в Microsoft Excel і може використовуватися для обходу засобів контролю безпеки. Microsoft каже, що панель попереднього перегляду не є вектором атаки. Наразі немає виправлення для Microsoft Office 2019 для Mac або Microsoft Office LTSC для Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Уразливість 3D Viewer оприлюднена, ця помилка може бути використана локально для запуску RCE.
- CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Ще одна відома проблема, ця вада безпеки 3D Viewer також може бути використана локальним зловмисником для виконання коду.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Також оприлюднено, що ця вада безпеки, знайдена в протоколі Windows Remote Desktop Protocol (RDP), може використовуватися для розкриття інформації.
- CVE-2021-41371: (CVSS: 3.1 4.4 / 3.9). Нарешті, ця вразливість RDP, відома до того, як було доступно виправлення, також може бути використана локально для примусового витоку інформації.
Це відносно невелика кількість уразливостей, усунених у листопаді, якщо порівнювати цей випуск із попередніми роками.
Минулого місяця, Microsoft усунула 71 помилку, тому ми можемо вважати цей період досить спокійним. Особливої уваги заслуговують виправлення загалом чотирьох недоліків нульового дня, один з яких активно експлуатувався в дикій природі, тоді як три були оприлюднені.
Якщо ми повернемося назад у часі, то Microsoft усунула понад 60 вразливостей під час вересневого виправлення у вівторок. Серед патчів було виправлення RCE в MSHTML.
І не забуваймо, що поряд з випуском програмного забезпечення Microsoft Patch Tuesday є й інші компанії, які також опублікували оновлення безпеки, наприклад:
- Adobe оновлення безпеки
- SAP оновлення безпеки
- VMWare рекомендації щодо безпеки
- Intel оновлення безпеки
Чи стикалися ви з будь-якою з помилок, перелічених у цій статті? Дайте нам знати в розділі коментарів нижче.
