Microsoft har frigivet over 60 sikkerhedsrettelser og opdateringer, der løser problemer, herunder en fejl i kodeudførelse (RCE) i MSHTML og andre kritiske fejl.
Redmond -gigantens seneste runde af patches, der normalt udgives den anden tirsdag i hver måned i det, der kaldes Patch Tuesday, landede den 14. september.
Produkter påvirket af september's sikkerhedsopdatering omfatter Azure Open Management Infrastructure, Azure Sphere, Office Excel, PowerPoint, Word og Access; kernen, Visual Studio, Microsoft Windows DNS og BitLocker, blandt andet software.
Læs videre:
Microsoft Teams: Denne nye funktion gør dine møder mere interaktive
Hvad er den hurtigste Windows 10 -webbrowser i 2021?
Den 7. september sagde Microsoft, at der var identificeret en fjernudførelsesfejl i MSHTML og blev brugt i et begrænset antal angreb mod Windows -systemer. Nul-dages sårbarhed, sporet som CVE-2021-40444, er blevet løst i denne patch-runde, og firmaet opfordrer brugerne til at acceptere sikkerhedsrettelsen med det samme.
Nogle andre bemærkelsesværdige sårbarheder, der er løst i denne opdatering, er:
CVE-2021-38647: Med en CVSS-score på 9,8 er dette den mest kritiske fejl på septemberlisten. Denne sårbarhed påvirker programmet Open Management Infrastructure (OMI) og giver angribere mulighed for at udføre RCE -angreb uden godkendelse ved at sende ondsindede meddelelser via HTTPS til port 5986.
“Nogle Azure -produkter, f.eks. Configuration Management, viser en HTTP/S -port til interaktion med OMI (port 5986, også kendt som WinRMport),” siger Microsoft. “Denne konfiguration, hvor HTTP/S -lytteren er aktiveret, kan muliggøre fjernudførelse af kode. Det er vigtigt at nævne, at de fleste Azure -tjenester, der bruger OMI, implementerer den uden at afsløre HTTP/S -porten.”
CVE-2021-36968: En offentligt afsløret Windows DNS-privilegium-eskalering af nul-dages sårbarhed udstedte en CVSS-score på 7,8. Microsoft har endnu ikke fundet tegn på udnyttelse i naturen.CVE-2021-26435: En kritisk fejl (CVSS 8.1) i Microsoft Windows-scriptmotoren. Denne fejl i hukommelseskorruption kræver imidlertid, at brugerinteraktion udløses.
CVE-2021-36967: En sårbarhed, der anses for kritisk og udstedte en CVSS-score på 8,0, i Windows WLAN AutoConfig-tjenesten, som kan bruges til forhøjelse af rettigheder.
Ifølge Zero Day Initiative (ZDI) afslører de 66 CVE'er – herunder tre kritiske, en moderate og resten anses for vigtige – et volumen lidt højere end den gennemsnitlige patch rate i 2021, mens dette stadig er under 2020 volumen. Derudover blev 20 CVE'er lappet af Microsoft Edge (Chromium) tidligere i september. I alt blev 11 af disse sårbarheder indsendt gennem Zero Day Initiative for i alt 86 CVE'er.
Onsdag advarede Microsoft om “Azurescape”, en sårbarhed formindsket af Redmond -giganten, der påvirker Azure Container Instances (ACI). Fejlen blev rapporteret af en forsker fra Palo Alto Networks.
I sidste måned løste Microsoft 44 sårbarheder i batchen af sikkerhedsrettelser i august. I alt blev tre kategoriseret som nul-dages fejl, og 13 tillod angribere at udføre RCE-angreb. Inkluderet i patch-udgivelsen var en rettelse til en velkendt Windows Print Spooler-sårbarhed, som kunne blive bevæbnet med henblik på lokal eskalering af privilegier.
En måned før tacklede techgiganten 117 fejl under juli-opdateringen Tirsdag.
I andre sikkerhedsnyheder har Apple lappet en nul-dages sårbarhed, der angiveligt er udnyttet af NSO Group til at spionere efter brugere af Mac-, iPhone-, iPad- og Watch-produkter. Derudover har Google skubbet en sikkerhedsopdatering ud, der løser to nul-dages fejl, der aktivt udnyttes i naturen.
Sideløbende med Microsofts Patch Tuesday -runde har også andre leverandører offentliggjort sikkerhedsopdateringer, som du kan få adgang til herunder.
Adobe -sikkerhedsopdateringerSAP -sikkerhedsopdateringerVMWare -sikkerhedsoplysningerIntel -sikkerhedsopdateringer
Relaterede emner:
Microsoft Security TV Data Management CXO datacentre