Microsoft har udgivet 55 sikkerhedsrettelser til software, inklusive programrettelser, der løser nul-dages sårbarheder, der aktivt udnyttes i naturen.
Redmond-gigantens seneste runde af patches, som normalt udgives den anden tirsdag i hver måned i det, der er kendt som Patch Tuesday, inkluderer rettelser til seks kritiske sårbarheder, 15 fejl til fjernudførelse af kode (RCE), informationslækager og elevation af privilegerede sikkerhedsfejl samt problemer, der kan føre til spoofing og manipulation.
Produkter, der er påvirket af novembers sikkerhedsopdatering, omfatter Microsoft Azure, den Chromium-baserede Edge-browser, Microsoft Office – samt tilknyttede produkter som Excel, Word og SharePoint – Visual Studio, Exchange Server, Windows Kernel og Windows Defender.
Læs videre:
Microsoft frigiver 'Defender for Business'-platformen
Microsoft vil nu narre dig på arbejdet som aldrig før. side
Nogle af de mest interessante sårbarheder, der er løst i denne opdatering, som alle anses for vigtige, er:
CVE-2021-42321: (CVSS:3.1 8.8/7.7). Under aktiv udnyttelse påvirker denne sårbarhed Microsoft Exchange Server og kan på grund af forkert validering af cmdlet-argumenter føre til RCE. Angribere skal dog være autentificeret.CVE-2021-42292: (CVSS:3.1 7.8/7.0). Også opdaget som udnyttet i naturen, blev denne sårbarhed fundet i Microsoft Excel og kan bruges til at omgå sikkerhedskontrol. Microsoft siger, at forhåndsvisningsruden ikke er en angrebsvektor. Ingen patch er i øjeblikket tilgængelig til Microsoft Office 2019 til Mac eller Microsoft Office LTSC til Mac 2021.CVE-2021-43209: (CVSS:3.1 7.8/6.8). En 3D Viewer-sårbarhed offentliggjort, denne fejl kan udnyttes lokalt til at udløse RCE.
CVE-2021-43208: (CVSS:3.1 7.8/6.8). Et andet kendt problem, denne 3D Viewer-sikkerhedsfejl, kan også blive bevæbnet af en lokal angriber til kodeudførelsesformål.
CVE-2021-38631: (CVSS:3.0 4.4/3.9). Denne sikkerhedsfejl, der også er offentliggjort i Windows Remote Desktop Protocol (RDP), kan bruges til videregivelse af oplysninger.
CVE-2021-41371: (CVSS:3.1 4.4/3.9). Endelig kan denne RDP-sårbarhed, kendt før patching var tilgængelig, også udnyttes lokalt til at fremtvinge et informationslæk.
Ifølge Zero Day Initiative (ZDI) er dette historisk set et relativt lavt antal sårbarheder, der er løst i løbet af november måned.
“Sidste år var der mere end dobbelt så mange CVE'er fast,” siger organisationen. “Selv gå tilbage til 2018, hvor der kun var 691 CVE'er fast hele året, var der flere november CVE'er faste end i denne måned. I betragtning af at december typisk er en langsommere måned patch-mæssigt, får det en til at spekulere på, om der er et efterslæb på patches, der afventer implementering på grund af forskellige faktorer.”
Sidste måned løste Microsoft 71 fejl i oktober-partiet af sikkerhedsrettelser. Særligt bemærkelsesværdigt er patches for i alt fire nul-dages fejl, hvoraf den ene blev aktivt udnyttet i naturen, mens tre blev offentliggjort.
En måned forinden tacklede teknologigiganten over 60 sårbarheder under September Patch Tuesday. Blandt patches var en rettelse til en RCE i MSHTML.
I de seneste Microsoft-nyheder blev Visual Studio 2022 og .NET 6 gjort almindeligt tilgængelige den 8. november. Visual Studio 2022 indeholder også en opdatering af nogle funktioner som fejlfindingsforbedringer for udviklere. .NET 6 inkluderer ydeevneforbedringer og er den første version, der kan understøtte både Windows Arm64 og Apple Arm64 Silicon.
Sammen med Microsofts Patch Tuesday-runde har andre leverandører også offentliggjort sikkerhedsopdateringer, som kan tilgås nedenfor.
Adobe-sikkerhedsopdateringerSAP-sikkerhedsopdateringerVMWare-sikkerhedsrådgivningIntel-sikkerhedsopdateringer
Fremhævede
Microsoft advarer mod stigning i sprayangreb med adgangskode Windows 11: Flere pc'er får det nye OS, men forvent ikke en hurtig udrulning Politiet stikker mål efter mistænkte bag 1.800 angreb, der 'anbragte kaos i hele verden' De bedste Bluetooth-højttalere: Her kommer boomet Microsoft | Sikkerheds-tv | Datastyring | CXO | Datacentre