Microsoft 推出 2021 年 11 月的例行性軟體更新包 Patch Tuesday,一共修復多達 55 個資安漏洞,更包括 6 個 0-day 漏洞。
以漏洞的嚴重程度來說,在這 55 個此次獲得修補的漏洞中,共有 6 個漏洞列為嚴重(Critical)等級,其於 49 個列為重要(Important)等級。若以漏洞類型來分,各類資安漏洞的數量如下:
- 權限提升漏洞:20 個;
- 資安防護功能跳過漏洞:2 個;
- 遠端執行任意程式碼漏洞:15 個;
- 資訊洩露漏洞:10 個;
- 服務阻斷漏洞:3 個;
- 假冒詐騙漏洞:4 個。
在這 55 個資安漏洞中,還包括 6 個 0-day 漏洞,需要立即修補;其中有兩個分別存於 Microsoft Exchange Server 和 Microsoft Excel 的漏洞,已遭駭侵團體大規模予以濫用,分別是:
- CVE-2021-42292:存於 Microsoft Excel 的資安防護功能跳過漏洞;
- CVE-2021-42321:存於 Microsoft Exchange Server 的遠端執行任意程式碼漏洞。
另外 4 個 0-day 漏洞中,有 2 個是存於 Windows Remote Desktop Protocol (RDP)的資訊洩露漏洞,另 2 個是存於 3D Viewer 的遠端執行任意程式碼漏洞。這 4 個漏洞目前尚未傳出遭到駭侵者大規模用於攻擊活動的情報。
資安專家呼籲,各種 Microsoft 軟體系統的使用者與管理者,應立即套用相關更新,以降低遭到駭侵者利用已知而未修補漏洞發動攻擊的風險。
本文轉載自TWCERT/CC。