Microsoft har gitt ut over 60 sikkerhetsrettelser og oppdateringer som løser problemer, inkludert en feil ved kjøring av ekstern kode (RCE) i MSHTML og andre kritiske feil.
Redmond -gigantens siste runde med oppdateringer, vanligvis utgitt den andre tirsdagen i hver måned i det som er kjent som Patch Tuesday, landet 14. september.
Produkter som påvirkes av sikkerhetsoppdateringen fra september inkluderer Azure Open Management Infrastructure, Azure Sphere, Office Excel, PowerPoint, Word og Access; kjernen, Visual Studio, Microsoft Windows DNS og BitLocker, blant annet programvare.
Les videre:
Microsoft Teams: Denne nye funksjonen vil gjøre møtene dine mer interaktive
Hva er den raskeste Windows 10 -nettleseren i 2021?
September sa Microsoft at en ekstern kodeutførelse i MSHTML var blitt identifisert og ble brukt i et begrenset antall angrep mot Windows -systemer. Null-dagers sårbarhet, sporet som CVE-2021-40444, er løst i denne oppdateringsrunden, og firmaet oppfordrer brukerne til å godta sikkerhetsoppdateringen umiddelbart.
Noen andre bemerkelsesverdige sårbarheter som er løst i denne oppdateringen er:
CVE-2021-38647: Med en CVSS-score på 9,8 er dette den mest kritiske feilen på september-listen. Denne sårbarheten påvirker Open Management Infrastructure (OMI) -programmet og lar angriperne utføre RCE -angrep uten autentisering ved å sende ondsinnede meldinger via HTTPS til port 5986.
“Noen Azure -produkter, for eksempel Configuration Management, avslører en HTTP/S -port for interaksjon med OMI (port 5986 også kjent som WinRMport),” sier Microsoft. “Denne konfigurasjonen der HTTP/S -lytteren er aktivert, kan tillate ekstern kjøring av kode. Det er viktig å nevne at de fleste Azure -tjenester som bruker OMI distribuerer den uten å avsløre HTTP/S -porten.”
CVE-2021-36968: Et offentliggjort Windows DNS-privilegium eskalering null-dagers sårbarhet, ga en CVSS-score på 7,8. Microsoft har foreløpig ikke funnet bevis på utnyttelse i naturen.CVE-2021-26435: En kritisk feil (CVSS 8.1) i skriptmotoren Microsoft Windows. Imidlertid krever denne feilen med minnekorrupsjon brukerinteraksjon for å utløse.
CVE-2021-36967: Et sårbarhet, ansett som kritisk og utstedt en CVSS-poengsum på 8,0, i Windows WLAN AutoConfig-tjenesten som kan brukes til å øke rettighetene.
I følge Zero Day Initiative (ZDI) avslører de 66 CVE -ene – inkludert tre kritiske, en moderate og resten som viktige – et volum litt høyere enn gjennomsnittlig oppdateringshastighet i 2021, mens dette fortsatt er under 2020 -volumet. I tillegg ble 20 CVEer lappet av Microsoft Edge (Chromium) tidligere i september. Totalt ble 11 av disse sårbarhetene sendt inn gjennom Zero Day Initiative, for totalt 86 CVE -er.
Onsdag advarte Microsoft om “Azurescape”, en sårbarhet som er redusert av Redmond -giganten og som påvirker Azure Container Instances (ACI). Feilen ble rapportert av en forsker fra Palo Alto Networks.
Forrige måned løste Microsoft 44 sårbarheter i august -gruppen med sikkerhetsrettelser. Totalt ble tre kategorisert som null-dagers feil, og 13 tillot angripere å utføre RCE-angrep. Inkludert i oppdateringen av oppdateringen var en løsning på et godt publisert Windows Print Spooler-sårbarhet som kan brukes til å eskalere lokale privilegier.
En måned tidligere taklet teknologigiganten 117 feil under oppdateringen i juli Tirsdag.
I andre sikkerhetsnyheter har Apple lappet et null-dagers sårbarhet som angivelig ble utnyttet av NSO Group for å spionere på brukere av Mac-, iPhone-, iPad- og Watch-produkter. I tillegg har Google presset ut en sikkerhetsoppdatering som løser to null-dagers feil som aktivt utnyttes i naturen.
Ved siden av Microsofts patch -tirsdag -runde har også andre leverandører publisert sikkerhetsoppdateringer som du kan få tilgang til nedenfor.
Adobe -sikkerhetsoppdateringerSAP -sikkerhetsoppdateringerVMWare -sikkerhetsinformasjon Intel sikkerhetsoppdateringer
Relaterte emner:
Microsoft Security TV Data Management CXO datasentre