微软本周二(11/9)展开例行性的Patch Tuesday安全更新,修补了55个安全漏洞,其中有4个属于零时差漏洞,另有两个已被开采,还有6个被列为重大(Critical)等级漏洞。已被开采的安全漏洞分别是存在于Microsoft Excel的CVE-2021-42292,以及出现在Microsoft Exchange Server上的CVE-2021-42321。
其中,CVE-2021-42292属于Excel的安全功能绕过漏洞,微软并未说明该漏洞的细节;Zero Day Initiative(ZDI)则揣测可能是在用户打开特定的文件并加载程序时,Excel没能跳出提醒,也建议Mac用户应该要多加小心,因为微软尚未修补Mac版的Office。
CVE-2021-42321则为Microsoft Exchange Server的远程程序攻击漏洞,微软特别撰文解释了该漏洞,指出它是存在于Exchange 2016与2019的身份认证后漏洞,并建议用户应立即修补它。
图片来源_微软
该漏洞仅影响本地部署的Exchange Server,包括用于混合部署中的服务器,至于Exchange Online用户则无需采取修补行动。
另外4个已被公开披露,但尚未发现攻击行动的漏洞,则包括涉及3D Viewer的CVE-2021-43208与CVE-2021-43209,以及涉及Windows远程桌面协议(RDP)的CVE-2021-38631及CVE-2021-41371。
上述不管是已被或未被开采的零时差漏洞,都仅被微软列为重要(Important)等级,至于本月修补的重大(Critical)漏洞中,被ZDI点名的则有存在于Virtual Machine Bus(VMBus)的CVE-2021-26443,以及藏匿在RDP服务器上的CVE-2021-38666。
CVE-2021-26443允许客座VM上的用户,通过VMBus传递一个特定的通信给主机OS,以于主机执行任意程序,ZDI从漏洞编号猜测,微软可能在几个月前就知道该漏洞的存在,只是如今才修补。
CVE-2021-38666漏洞则可让控制RDP服务器的黑客,在用户以RDP客户端程序连至该服务器时,于客户端执行任意程序。