记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

微软发布针对主动利用的 Windows 零日漏洞的补丁

2021-09-16 11:43

在苹果和谷歌推送紧急安全更新之后的第二天,微软亦推送了9月的“星期二补丁”,用以修复威胁window及组件的66处漏洞,包括Azure, Office, BitLocker, and Visual Studio等,其中包括一个于上周曝光的 MSHTML 平台中积极利用零日漏洞。

在这66个漏洞中,3个被评为“critical”(关键)、1 个被评为“moderate”(中等),其余均被评为“important”(重要)。这些不包括该公司自本月初以来解决的基于 Chromium 的 Microsoft Edge 浏览器中的20个漏洞。

最重要的更新涉及CVE-2021-40444(CVSS 评分:8.8)的补丁,这是 MSHTML 中一个积极利用的远程代码执行漏洞,它利用带有恶意软件的 Microsoft Office 文档,EXPMON 研究人员指出“该漏洞利用逻辑缺陷,所以这种利用是完全可靠的。”

此外还解决了 Windows DNS 中公开披露但未被积极利用的权限提升漏洞——CVE-2021-36968,严重性等级为 7.8。

其它解决的值得注意的漏洞包括开放管理基础设施 ( CVE-2021-38647)、Windows WLAN 自动配置服务 ( CVE-2021-36965)、Office ( CVE-2021-38659)、Visual Studio 中的许多远程代码执行错误( CVE-2021-36952) 和 Word ( CVE-2021-38656) 以及 Windows 脚本引擎中的内存损坏缺陷 ( CVE-2021-26435)。

更重要的是,Windows 制造商已经修复了其 Print Spooler 服务中新发现的三个提权漏洞(CVE-2021-38667CVE-2021-38671CVE-2021-40447),而CVE-2021-369021CVE- 2021-369021 -38639(CVSS 分数:7.8)都与 Win32k 中的权限提升漏洞有关,被列为“更有可能被利用”,因此用户必须迅速采取行动进行安全更新。


知识来源: https://www.freebuf.com/vuls/288701.html

阅读:11784 | 评论:0 | 标签:漏洞 windows 微软

想收藏或者和大家分享这篇好文章→复制链接地址

“微软发布针对主动利用的 Windows 零日漏洞的补丁”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云