Microsoft har släppt 55 säkerhetskorrigeringar för programvara inklusive patchar som löser nolldagssårbarheter som aktivt utnyttjas i naturen.
Redmond-jättens senaste omgång av patchar, vanligtvis släppt den andra tisdagen i varje månad i det som kallas Patch Tuesday, innehåller korrigeringar för sex kritiska sårbarheter, 15 buggar för fjärrkodexekvering (RCE), informationsläckor och höjning av säkerhetsbrister, såväl som problem som kan leda till spoofing och manipulering.
Produkter som påverkas av novembers säkerhetsuppdatering inkluderar Microsoft Azure, den Chromium-baserade Edge-webbläsaren, Microsoft Office – såväl som tillhörande produkter som Excel, Word och SharePoint – Visual Studio, Exchange Server, Windows Kernel och Windows Defender.
Läs vidare:
Microsoft släpper “Defender for Business”-plattformen
Microsoft kommer nu att lura på dig på jobbet som aldrig förr. Utgångna certifikatnedgångar Windows 11-klippverktyg, S-läges startmeny och inställningar sida
Några av de mest intressanta sårbarheterna som lösts i den här uppdateringen, alla bedömda som viktiga, är:
CVE-2021-42321: (CVSS:3.1 8.8/7.7). Under aktiv exploatering påverkar denna sårbarhet Microsoft Exchange Server och kan på grund av felaktig validering av cmdlet-argument leda till RCE. Angripare måste dock autentiseras.CVE-2021-42292: (CVSS:3.1 7.8/7.0). Denna sårbarhet upptäcktes också som utnyttjad i naturen och hittades i Microsoft Excel och kan användas för att kringgå säkerhetskontroller. Microsoft säger att förhandsgranskningsfönstret inte är en attackvektor. Ingen patch är för närvarande tillgänglig för Microsoft Office 2019 för Mac eller Microsoft Office LTSC för Mac 2021.CVE-2021-43209: (CVSS:3.1 7.8/6.8). En 3D Viewer-sårbarhet som offentliggjorts, denna bugg kan utnyttjas lokalt för att utlösa RCE.
CVE-2021-43208: (CVSS:3.1 7.8/6.8). Ett annat känt problem, denna säkerhetsbrist i 3D Viewer kan också beväpnas av en lokal angripare för kodexekveringsändamål.
CVE-2021-38631: (CVSS:3.0 4.4/3.9). Denna säkerhetsbrist, som finns i Windows Remote Desktop Protocol (RDP), som också offentliggörs, kan användas för att lämna ut information.
CVE-2021-41371: (CVSS:3.1 4.4/3.9). Slutligen kan denna RDP-sårbarhet, känd innan patchning var tillgänglig, även utnyttjas lokalt för att tvinga fram en informationsläcka.
Enligt Zero Day Initiative (ZDI) är detta historiskt sett ett relativt litet antal sårbarheter som har lösts under november månad.
“Förra året fixades mer än dubbelt så många CVEs”, säger organisationen. “Till och med tillbaka till 2018 då det bara var 691 CVE fixade hela året, var det fler november CVEs fixade än den här månaden. Med tanke på att december vanligtvis är en långsammare månad patchmässigt, får det en att undra om det finns en eftersläpning på patchar som väntar på distribution på grund av olika faktorer.”
Förra månaden löste Microsoft 71 buggar i oktobergruppen med säkerhetskorrigeringar. Särskilt anmärkningsvärt är lappar för totalt fyra nolldagarsbrister, varav en exploaterades aktivt i naturen, medan tre offentliggjordes.
En månad tidigare tacklade teknikjätten över 60 sårbarheter under September Patch Tuesday. Bland patcharna fanns en fix för en RCE i MSHTML.
I de senaste Microsoft-nyheterna gjordes Visual Studio 2022 och .NET 6 allmänt tillgängliga den 8 november. Visual Studio 2022 innehåller också en uppdatering av vissa funktioner som felsökningsförbättringar för utvecklare. .NET 6 inkluderar prestandaförbättringar och är den första versionen som kan stödja både Windows Arm64 och Apple Arm64 Silicon.
På sidan av Microsofts Patch Tuesday-runda har även andra leverantörer publicerat säkerhetsuppdateringar som kan nås nedan.
Adobe-säkerhetsuppdateringarSAP-säkerhetsuppdateringarVMWare-säkerhetsrådIntel-säkerhetsuppdateringar
Utvalda
Microsoft varnar för ökningen av lösenordssprutningsattacker Windows 11: Fler datorer får det nya operativsystemet, men förvänta dig inte en snabb utrullning Polisen sticker mål på misstänkta bakom 1 800 attacker som “anledde förödelse över hela världen” De bästa Bluetooth-högtalarna: Här kommer boomen Microsoft | Säkerhets-TV | Datahantering | CXO | Datacenter