這次的 Patch Tuesday 資安漏洞修補包,除了上述的 74 個更新外,還有另外 7 個屬於 Microsoft Edge 的資安更新;以修補完成的漏洞類型來看這 81 個漏洞,分別如下:
- 執行權限提升漏洞:21 個;
- 資安功能跳過漏洞:6 個;
- 遠端執行任意程式碼漏洞:20 個;
- 資訊外洩漏洞:13 個;
- 服務阻斷漏洞:5 個;
- 詐騙假冒漏洞:9 個。
值得注意的是,在這批修復的資安漏洞中,共有 4 個 0-day 漏洞如下:
- CVE-2021-40449:Win32K 權限提升漏洞;這個漏洞據報已遭駭侵者大規模濫用於發動攻擊;
- CVE-2021-40469:Windows DNS Server 遠端執行任意程式碼漏洞;
- CVE-2021-41335:Windows Kernel 權限提升漏洞;
- CVE-2021-41338:Windows AppContainer 防火牆規則資安功能跳過漏洞。
在嚴重程度方面,這次 Patch Tuesday 中有三個漏洞屬於「嚴重」等級,分別為:
- CVE-2021-40486:Microsoft Word 遠端執行任意程式碼漏洞;
- CVE-2021-40461:Windows Hyper-V 遠端執行任意程式碼漏洞;
- CVE-2021-38672:同樣是 Windows Hyper-V 遠端執行任意程式碼漏洞。
由於本次更新檔案極多,建議所有微軟產品用戶,應立即透過系統更新功能,下載安裝這次資安漏洞修補包,以避免遭駭侵者透過已知漏洞發動攻擊。
本文轉載自TWCERT/CC。