Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London. PGP-nøgle: AF40821B.
Fuld bio den 14. december 2021 | Emne: Sikkerhed
Microsoft har udgivet 67 sikkerhedsrettelser til software, herunder syv kritiske problemer og en nul-dages fejl, der aktivt udnyttes af cyberkriminelle.
I Redmond-gigantens seneste runde af patches, som normalt udgives den anden tirsdag i hver måned i det, der er kendt som Patch Tuesday, har Microsoft rettet problemer i software, herunder Remote Code Execution (RCE) sårbarheder, privilegieeskalering sikkerhedsfejl, spoofing-fejl og denial-of-service-problemer.
Produkter, der er påvirket af Microsofts sikkerhedsopdatering fra december, omfatter Microsoft Office, Microsoft PowerShell, den Chromium-baserede Edge-browser, Windows-kernen, Print Spooler og Remote Desktop Client.
Læs videre:
Din Windows 11-opgradering er klar. Skal du gøre det?
Microsoft beskriver de næste trin med Azure Space; tilføjer Airbus som partnerNy Windows 11 testbuild inkluderer Voice Access-funktioner
Nogle af de mest alvorlige sårbarheder, der er løst i denne opdatering, er i alt seks nul-dage, selvom kun én er kendt for at blive aktivt udnyttet i naturen:
CVE-2021-43890: Denne Windows AppX Installer Spoofing nul-dages sårbarhed, udstedt en CVSS-score på 7,1 og vurderet som vigtig, er offentligt kendt og under udnyttelse. Microsoft siger, at det er “bevidst om angreb, der forsøger at udnytte denne sårbarhed ved at bruge specialfremstillede pakker”, og at fejlen bliver våben til at sprede Emotet/Trickbot/Bazaloader malware-familierne. CVE-2021-41333: Udstedte en CVSS-score på 7,8, denne Windows Print Spooler Elevation of Privilege sårbarhed er blevet offentliggjort og har lav angrebskompleksitet.
CVE-2021-43880: Denne sikkerhedsfejl er beskrevet som en Windows Mobile Device Management Elevation of Privilege (EoP) sårbarhed, der tillader lokale angribere at slette målrettede filer på et system.
< strong>CVE-2021-43893: James Forshaw fra Google Project Zero rapporterede dette problem (CVSS 7.5), som beskrives af Microsoft som en EoP i Windows Encrypting File System (EFS).
CVE-2021-43240: Udstedte en CVSS-score på 7,8, Microsoft siger, at denne fejl, en NTFS Set Short Name elevation of privilege-fejl, har proof-of-concept udnyttelseskode tilgængelig og er kendt offentligt.
CVE-2021-43883: Den sidste nul-dages fejl påvirker Windows Installer. Dette problem, der er tildelt en CVSS-score på 7,8, kan tillade uautoriseret privilegieeskalering.
Yderligere 16 CVE'er i den Chromium-baserede Edge-browser blev patchet tidligere på måneden.
Ifølge Zero Day Initiative (ZDI) er 887 CVE-tildelte sårbarheder blevet rettet af Microsoft i år. Selvom dette tal kan virke højt, bemærker holdet, at dette er et fald på 29 % fra 2020 (ikke inklusive Chromium-baseret Edge).
Sidste måned løste Microsoft 55 fejl i november-partiet af sikkerhedsrettelser. I alt blev seks tildelt kritiske vurderinger, og 15 var problemer med fjernudførelse af kode. Zero-day sårbarheder blev også løst af teknologigiganten.
En måned forinden tacklede teknologigiganten 71 sårbarheder under oktoberpatch tirsdag. Dette omfattede fire nul-dage fejl, hvoraf den ene blev aktivt udnyttet i naturen.
I andre Microsoft-sikkerhedsnyheder advarede virksomheden for nylig om, at en rettet Exchange Server post-godkendelsesfejl, sporet som CVE-2021-42321, bliver våben i nye angreb – hvilket tilføjer det sidste års problemer omkring fire nul-dage i serverplatformen.
Virksomheden har også for nylig offentliggjort forskning om iranske trusselsaktører og deres placering i det cyberkriminelle rum. Microsoft siger, at der har været en massiv stigning i Iran statssponsorerede angreb i år mod it-tjenester, på trods af at de var tæt på ikke-eksisterende i 2020.
Sammen med Microsofts Patch Tuesday-runde har andre leverandører også offentliggjorte sikkerhedsopdateringer, som kan tilgås nedenfor.
Adobe-sikkerhedsopdateringerSAP-sikkerhedsopdateringerVMWare-sikkerhedsrådgivningIntel-sikkerhedsopdateringer Microsoft | Sikkerheds-tv | Datastyring | CXO | Datacentre