微软11月的Patch Tuesday修补55个安全漏洞，有两个已被开采

微软本周二（11/9）展开例行性的Patch Tuesday安全更新，修补了55个安全漏洞，当中有4个属于零时差漏洞，另有两个已被开采，还有6个被列为重大（Critical）等级漏洞。已被开采的安全漏洞分别是存在于Microsoft Excel的CVE-2021-42292，以及出现在Microsoft Exchange Server上的CVE-2021-42321。

其中，CVE-2021-42292属于Excel的安全功能绕过漏洞，微软并未说明该漏洞的细节；Zero Day Initiative（ZDI）则揣测可能是在使用者开启特制的档案并载入程式时，Excel没能跳出提醒，也建议Mac用户应该要多加小心，因为微软尚未修补Mac版的Office。

CVE-2021-42321则为Microsoft Exchange Server的远端程式攻击漏洞，微软特别撰文解释了该漏洞，指出它是存在于Exchange 2016与2019的身份认证后漏洞，并建议用户应立即修补它。

图片来源_微软

该漏洞仅影响就地部署的Exchange Server，包括用于混合部署中的服务器，至于Exchange Online用户则无需采取修补行动。

另外4个已被公开揭露，但尚未发现攻击行动的漏洞，则包括涉及3D Viewer的CVE-2021-43208与CVE-2021-43209，以及涉及Windows远端桌面协定（RDP）的CVE-2021-38631及CVE-2021-41371。

上述不管是已被或未被开采的零时差漏洞，都仅被微软列为重要（Important）等级，至于本月修补的重大（Critical）漏洞中，被ZDI点名的则有存在于Virtual Machine Bus（VMBus）的CVE-2021-26443，以及藏匿在RDP服务器上的CVE-2021-38666 。

CVE-2021-26443允许客座VM上的使用者，透过VMBus传递一个特制的通讯予主机OS，以于主机执行任意程式，ZDI从漏洞编号猜测，微软可能在几个月前就知道此一漏洞的存在，只是如今才修补。

CVE-2021-38666漏洞则可让控制RDP服务器的骇客，在使用者以RDP客户端程式连至该服务器时，于客户端执行任意程式。