微软本周稍早发布12月Patch Tuesday的安全更新,共修补67项漏洞,其中包含一项已被开采的零时差漏洞。
本月修补的漏洞影响产品涵盖Windows、Windows组件、Office、Office组件、Edge、SharePoint Server、Windows Mobile Device Management、Hyper-V、ASP.NET Core、Visual Studio、Windows Remote Desktop Client、iSNS Server等。67项漏洞中有7项属重大漏洞,60项为重要漏洞。6项漏洞已被公开,其中1项则遭到公开开采。
遭到公开开采的漏洞编号CVE-2021-43890,影响Windows AppX Installer,这是用于在Windows 10计算机上安装AppX app的工具。微软接获通报,本漏洞被用来传播Emotet、Trickbot及Bazaloader等恶意程序。攻击者可利用钓鱼信件传播恶意附件诱使用户打开文件以植入恶意程序。本漏洞需要用户权限来执行程序,若用户账号具备管理员权限,影响更为严重。安全厂商ZDI指出,这项漏洞属于中度风险,但若结合权限扩张漏洞,则可能导致系统被接管。
其他5项遭公开的漏洞皆属“重要”风险的权限扩张漏洞,影响产品包括NTFS Set Short Name(CVE-2021-43240)、Windows Encrypting File System S(CVE-2021-43893)、Windows Installer、Windows Mobile Device Management(CVE-2021-43880)及Windows Print Spooler(CVE-2021-41333)。
所幸7项重大(critical)风险漏洞皆未被公开。其中较重要的包括3项风险值9.8的程序代码执行(RCE)漏洞,分别涉及iSNS(Internet Storage Name Service)服务器(CVE-2021-43215)、4K Wireless Display Adapter(CVE-2021-43899)以及Visual Studio WSL插件(CVE-2021-43907)。影响构建储域网络(SAN)的客户、连接4K无线显示器的计算机、以及以WSL(Windows Subsystem for Linux)开发及执行Linux环境的开发人员。
此外,微软也修补了Microsoft Office App存在的一个9.6风险值的RCE漏洞(CVE-2021-43905),攻击者通过社交工程发送恶意Office文件,用户打开文件即可被执行程序代码。