Microsoft har släppt över 60 säkerhetsfixar och uppdateringar som löser problem, inklusive en felkodkörning (RCE) i MSHTML och andra kritiska buggar.
Redmond -jättens senaste omgång av patch, vanligtvis släppt den andra tisdagen i varje månad i det som kallas Patch Tuesday, landade den 14 september.
Produkter som påverkas av september säkerhetsuppdatering inkluderar Azure Open Management Infrastructure, Azure Sphere, Office Excel, PowerPoint, Word och Access; kärnan, Visual Studio, Microsoft Windows DNS och BitLocker, bland annat programvara.
Läs vidare:
Microsoft Teams: Den här nya funktionen gör dina möten mer interaktiva
Vad är den snabbaste webbläsaren i Windows 10 år 2021?
Den 7 september sa Microsoft att en felkod för körning av kod i MSHTML hade identifierats och användes i ett begränsat antal attacker mot Windows -system. Noll-dagars sårbarhet, spårad som CVE-2021-40444, har lösts i den här patchrundan och företaget uppmanar användare att acceptera säkerhetsreparationen omedelbart.
Några andra anmärkningsvärda sårbarheter som lösts i den här uppdateringen är:
CVE-2021-38647: Med en CVSS-poäng på 9,8 är detta det mest kritiska felet på septemberlistan. Denna sårbarhet påverkar programmet Open Management Infrastructure (OMI) och tillåter angripare att utföra RCE -attacker utan autentisering genom att skicka skadliga meddelanden via HTTPS till port 5986.
“Vissa Azure -produkter, till exempel Configuration Management, avslöjar en HTTP/S -port för interaktion med OMI (port 5986, även känd som WinRMport)”, säger Microsoft. “Denna konfiguration där HTTP/S -lyssnaren är aktiverad kan möjliggöra fjärrkörning av kod. Det är viktigt att nämna att de flesta Azure -tjänster som använder OMI distribuerar den utan att avslöja HTTP/S -porten.”
CVE-2021-36968: Ett offentligt avslöjat noll-dagars sårbarhet för Windows DNS-privilegier, gav en CVSS-poäng på 7,8. Microsoft har ännu inte hittat några bevis på exploatering i naturen.CVE-2021-26435: En kritisk brist (CVSS 8.1) i Microsoft Windows-skriptmotorn. Detta fel med minneskorruption kräver dock att användarinteraktion utlöses.
CVE-2021-36967: En sårbarhet, som anses vara kritisk och utfärdade en CVSS-poäng på 8,0, i Windows WLAN AutoConfig-tjänsten som kan användas för höjning av privilegier.
Enligt Zero Day Initiative (ZDI) avslöjar de 66 CVE: erna tre kritiska, en måttlig och resten anses viktiga – en volym som är något högre än den genomsnittliga korrigeringsfrekvensen 2021, medan denna fortfarande är under 2020 -volymen. Dessutom lappades 20 CVE: er av Microsoft Edge (Chromium) tidigare i september. Totalt lämnades 11 av dessa sårbarheter genom Zero Day Initiative, för totalt 86 CVE.
På onsdagen varnade Microsoft för “Azurescape”, en sårbarhet som lindras av Redmond -jätten som påverkar Azure Container Instances (ACI). Buggen rapporterades av en forskare från Palo Alto Networks.
Förra månaden löste Microsoft 44 sårbarheter i säkerhetsåtgärderna i augusti. Totalt kategoriserades tre som nolldagars brister och 13 tillät angripare att utföra RCE-attacker. Innehållet i patchversionen var en åtgärd för en väl publicerad Windows Print Spooler-sårbarhet som kan användas för att eskalera lokala privilegier.
En månad tidigare tacklade teknikjätten 117 buggar under juli-korrigeringen Tisdag.
I andra säkerhetsnyheter har Apple korrigerat en nolldagars sårbarhet som enligt uppgift utnyttjas av NSO Group för att spionera på användare av Mac-, iPhone-, iPad- och Watch-produkter. Dessutom har Google drivit ut en säkerhetsuppdatering som löser två nolldagars buggar som aktivt utnyttjas i naturen.
Vid sidan av Microsofts Patch Tuesday -runda har även andra leverantörer publicerat säkerhetsuppdateringar som kan nås nedan.
Adobes säkerhetsuppdateringarSAP -säkerhetsuppdateringarVMWare -säkerhetsanvisningarIntelsäkerhetsuppdateringar
Relaterade ämnen:
Microsoft Security TV Data Management CXO Data Center