微軟推出 2021 年 8 月 Patch Tuesday 資安修補包，修復 44 個資安漏洞，內含 3 個 0-day 漏洞

微軟近日推出例行性的 2021 年 8 月份 Patch Tuesday 每月資安修補包，一共修復微軟多種軟體系統共 44 個資安漏洞，其中更包括 3 個 0-day 漏洞在內；微軟各種產品的用戶，應立即透過系統更新功能，更新此修補包，以降低遭到駭侵攻擊的風險。

在這次推出的資安修補包中，除了 3 個 0-day 資安漏洞外，以資安漏洞的危險程度評及來看，共有 7 個列為「嚴重」（Critical）等級，37 個列為「重要」等級（Important）；若以漏洞性質與錯誤類型來看，共有 13 個屬於可讓駭侵者遠端執行任意程式碼的 RCE 漏洞，8 個屬於資料外洩漏洞，2 個屬於服務阻斷（DoS）漏洞，4 個屬於詐騙（Spoofing）漏洞。

值得一提的是，3 個 0-day 漏洞中，已經有一個遭到駭侵者大規模濫用；這個漏洞是 CVE-2021-36948，是發生在 Windows 10 與 Windows Server 系統中的 Windows Update Medic Service 中的執行權限提升漏洞；駭侵者可以先以較低權限入侵系統，然後利用這個漏洞提升自身的執行權限，在未經授權的情形下執行任意程式碼，發動進一步的攻擊。

另兩個得到修復的 0-day 漏洞是 CVE-2021-36939 與 CVE-2021-36942；前者是發生在 Windows Print Spooler 的遠端執行任意程式碼漏洞，後者是 Windows LSA Spoofing 漏洞。目前這兩個漏洞都還沒有遭到駭侵者大規模濫用。

本文轉載自TWECRT/CC。