沿袭惯例,微软如期发布了12月的安全更新。更新补丁涉及Windows Media、Microsoft Office、Microsoft PowerShell、Edge浏览器、Windows内核等。
补丁包括:
26个远程代码执行漏洞
21个特权提升漏洞
10个信息泄露漏洞
7个欺骗漏洞
3个拒绝服务漏洞
总共修复了67个安全漏洞,其中以下几个关键漏洞值得注意:
CVE-2021-43215,CVSS评分9.8,攻击者可以向Internet存储名称服务(iSNS)服务器发送经特殊设计的请求,从而实现远程代码执行(RCE)。
另一个9.8分的漏洞是CVE-2021-43907,这是Visual Studio Code WSL Extension中的一个RCE漏洞,微软表示其可以被未经身份验证的攻击者利用,不需用户交互。
最后一个9.8分漏洞是CVE-2021-43899,与Microsoft 4K显示适配器位于同一网络上的未经身份验证的攻击者可以向易受攻击的设备发送特制数据包,从而在受影响的设备上实现RCE。
此外还有存在于Microsoft Office应用程序中的RCE漏洞CVE-2021-43905(CVSS评分9.6)、在Microsoft Defender for IoT中发现的RCE漏洞CVE-2021-42310等。
微软还修复了一个野外零日漏洞CVE-2021-43890,它是WindowsAppX安装程序中的一个欺骗漏洞。该安装程序用于旁加载Windows 10应用程序,可在App Store 上使用。
Immersive Labs网络威胁研究总监Kevin Breen解释说,该漏洞允许攻击者制作恶意软件包文件,然后将其修改为合法的应用程序。在微软修复之前,该漏洞在与Emotet,TrickBot和Bazaloader恶意软件相关的多次攻击中出现。
根据零日计划(ZDI)的数据,微软今年已经修补了887个CVE漏洞。虽然这个数字很高,但该团队指出,它还比2020年下降了29%(不包括基于Chromium的Edge)。
资讯来源:微软官网
请登录后查看评论内容