APP下载

微软Patch Tuesday修补包含MSHTML引擎等66项漏洞

消息来源:baojiabao.com 作者: 发布时间:2024-11-29

报价宝综合消息微软Patch Tuesday修补包含MSHTML引擎等66项漏洞

情境示意图,Photo by Ryoji Iwata on unsplash

周二微软释出9月份Patch Tuesday安全更新,修补66项漏洞,包含已经出现开采程式的Windows MSHTML浏览器引擎漏洞,以及1个尚未公开但风险值9.8的Azure管理元件漏洞。

本次修补的漏洞最受瞩目的是编号CVE-2021-40444的漏洞,它位于Windows内微软浏览器引擎MSHTML,但影响也使用MHTML引擎的Office用户。攻击者传送的恶意Office档案一经用户开启,即开启攻击者控制的恶意网页,并启用ActiveX控制下载恶意Cpl档。开采行动可引发远端程式码执行,最严重导致攻击者接管Windows机器。

这项漏洞影响Windows 7到Windows 10,以及Server 2008以后版本。安全研究人员已在Office 365及Office 2016上复制出攻击。

微软上周提供以关闭IE中ActiveX来缓解攻击,也说明Office环境下可以“安全检视”模式维护用户安全,但是研究人员说明CVE-2021-40444威胁比想像中来得大,因为压缩档(.arj、.gzip)或磁盘映像档(.iso、.vhd)都可以绕过“安全检视”,使这漏洞比恶意宏的安全威胁更大。

网络上周已经开始流传可开采CVE-2021-40444的恶意文件。研究人员发现,Docx、.RTF、Excel到PowerPoint等不一而足。安全专家包括CERT/CC研究员Will Dormann已测试出在启用ActiveX缓解措施的PC上,依然能开启Office文件执行恶意程式的方法。

本次还有另一个漏洞CVE-2021-36968已遭公开,不过所幸尚无开采活动。它是位于Windows DNS中,风险值7.8的权限升级(EoP)漏洞。

其他漏洞方面,较值得注意的有几个:一是CVE-2021-38647,位于Azure Open Management Infrastructure (OMI)管理元件,攻击者不需验证即可以根(root)权限在Azure VM执行程式码,风险值9.8,属重大漏洞。Azure OMI同时还被修补了3个高风险的EoP漏洞(CVE-2021-38645、CVE-2021-38648、及CVE-2021-38649) 。

另一重大漏洞CVE-2021-36965是Windows WLAN AutoConfig Service漏洞,可导致用户在公开Wi-Fi网络环境下,遭远端程式码执行(RCE)攻击,风险值8.8。

其他风险值7.0到7.9之间的漏洞中,微软修补了打印多工缓冲服务Print Pooler 3个漏洞,包括CVE-2021-38667、CVE-2021-38671和CVE-2021-40447。研究人员呼吁应优先部署修补程式,因为攻击者可在开采骇入网络后持续活动。

此外,Windows Common Log File System(CLFS)驱动程式内含3个权限升级漏洞(CVE-2021-36955、CVE-2021-36963及CVE-2021-38633)。研究人员相信,这驱动程式在所有Windows版本都支援,虽然尚未有攻击活动,但开采容易,不可掉以轻心。

2021-09-15 16:48:00

相关文章