微软针对Exchange和Excel等修复53个高危漏洞和2个零日漏洞

本月微软发布安全更新，以解决 Windows、Azure、Visual Studio、Windows Hyper-V 和 Office 中的 55 个漏洞，包括对 Excel 和 Exchange Server 中两个被积极利用的零日漏洞的修复，可能会被滥用以控制受影响的系统。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，最关键的漏洞是CVE-2021-42321（CVSS 评分：8.8）和CVE-2021-42292（CVSS 评分：7.8），每个都涉及Microsoft Exchange Server 中的认证后远程代码执行漏洞和安全绕过漏洞分别影响 Microsoft Excel 版本 2013-2021。

Exchange Server 漏洞也是上个月在中国举办的天府杯上展示的漏洞之一。然而，微软没有提供任何关于上述两个漏洞如何用于现实世界攻击的细节。

今年早些时候，微软警告说 APT Group HAFNIUM 正在利用Microsoft Exchange 服务器中的四个零日漏洞。

还解决了四个公开披露但未被利用的漏洞：

• CVE-2021-43208（CVSS 评分：7.8）——3D 查看器远程代码执行漏洞；
• CVE-2021-43209（CVSS 评分：7.8）——3D 查看器远程代码执行漏洞；
• CVE-2021-38631（CVSS 评分：4.4）——Windows 远程桌面协议 (RDP) 信息泄露漏洞；
• CVE-2021-41371（CVSS 评分：4.4）——Windows 远程桌面协议 (RDP) 信息泄露漏洞；

微软 11 月的安全更新还附带了针对CVE-2021-3711的解决方案，这是OpenSSL 的 SM2 解密功能中的一个关键缓冲区溢出漏洞，该漏洞于2021 年 8 月下旬曝光，可能被攻击者滥用以运行任意代码并导致DoS攻击的条件。

其他重要补救措施包括修复 Chakra 脚本引擎 ( CVE-2021-42279 )、Microsoft Defender ( CVE-2021-42298 )、Microsoft 虚拟机总线 ( CVE-2021-26443 )、远程桌面客户端 ( CVE ) 中的多个远程代码执行缺陷-2021-38666 ) 和 Microsoft Dynamics 365 的本地版本 ( CVE-2021-42316 )。

最后，此更新包含针对影响 NTFS（CVE-2021-41367、CVE-2021-41370、CVE-2021-42283）、Windows 内核（CVE-2021-42285）、Visual Studio Code 的多个提权漏洞的补丁( CVE-2021-42322 )、Windows 桌面桥 ( CVE-2021-36957 ) 和 Windows 快速 FAT 文件系统驱动程序 ( CVE-2021-41377 )。