微軟最新推出 2021 年 12 月的「Patch Tuesday」資安更新修補包,一共修復多達 67 個資安漏洞,其中更有 6 個 0-day 漏洞;各種微軟產品用戶,應立即更新至最新版本。
在這 67 個得到修復的資安漏洞之中,依漏洞類型來區分的話,其類型及數量如下:
- 執行權限提升漏洞:21 個;
- 遠端執行任意程式碼漏洞:26 個;
- 資訊洩露漏洞:10 個;
- 服務阻斷攻擊漏洞:3 個;
- 詐欺假冒漏洞:7 個。
若以嚴重程度來區分,共有 7 個漏洞歸類為嚴重(Critical)等級,其餘 60 個則為重要(Important)等級。
至於此次修復的 6 個 0-day 漏洞中,較嚴重且已知遭到駭侵者利用於攻擊行動的,共有兩個 0-day 漏洞,其中較嚴重的是 CVE-2021-43890,屬於 Windows AppX 安裝程式的漏洞,先前已有多個惡意軟體散布攻擊案例係利用此漏洞發動攻擊,包括惡名昭彰的 Emotet、TrickBot 與 BazarLoader 等。
另一個較嚴重的 0-day 漏洞則是 CVE-2021-41333。本漏洞發生於 Windows Print Spooler 子系統,可用以提升駭侵者的執行權限,先前也曾遭駭侵者用於發動攻擊,而且利用此漏洞的程序相當簡易。
微軟這次 Patch Tuesday 修復的漏洞,涵蓋的微軟產品相當多元,包括 Microsoft Office、Microsoft PowerShell、Microsoft Windows、Microsoft Edge Browser 等;採用這些微軟產品的用戶或系統管理者,應立即套用適用的產品更新,以避免駭侵者利用已知的漏洞發動攻擊而造成損失。
本文轉載自TWCERT/CC。