Microsoft veröffentlicht Patches z. Hd. lebenskräftig ausgenutzte 0-Tage-Fehler in Excel und Exchange Server
[ad_1]
Microsoft hat im Rahmen seines monatlichen Patch Tuesday-Release-Zyklus Sicherheitsupdates veröffentlicht, um 55 Schwachstellen in Windows, Azure, Visual Studio, Windows Hyper-Vanadium und Office zu beheben, einschließlich Korrekturen z. Hd. zwei lebenskräftig ausgenutzte Zero-Day-Fehler in Excel und Exchange Server, die missbraucht werden könnte, um die Leistungsnachweis darüber hinaus ein betroffenes System zu übernehmen.
Von den 55 Störungen werden sechs denn unbequem und 49 denn wichtig eingestuft, wodurch vier weitere zum Zeitpunkt jener Veröffentlichung denn publik prominent aufgeführt sind.
Die kritischsten Fehler sind CVE-2021-42321 (CVSS-Score: 8,8) und CVE-2021-42292 (CVSS-Score: 7,8), die jeweils vereinen Fehler für jener Remotecodeausführung nachher jener Authentifizierung in Microsoft Exchange Server und eine Sicherheitsumgehungsanfälligkeit sich manifestieren in Auswirkungen hinaus die Microsoft Excel-Versionen 2013-2021 bzw.
Dies Problem mit dem Exchange-Server ist Neben… einer jener Fehler, die letzten Monat beim Tianfu Cup in Reich der Mitte demonstriert wurden. Welcher in Redmond ansässige Technologieriese machte jedoch keine Daten dazu, wie die beiden oben genannten Schwachstellen für realen Angriffen genutzt wurden.
“Zustandekommen dieses Jahres hat Microsoft darauf hingewiesen, dass die APT Group HAFNIUM vier Zero-Day-Schwachstellen im Microsoft Exchange-Server ausnutzt”, sagte Bharat Jogi, Director of Vulnerability and Threat Research für Qualys.
„Dies führte zu Exploits von Exchange-Server-Schwachstellen durch DearCry Ransomware – einschließlich Angriffen hinaus Forscher z. Hd. Infektionskrankheiten, Anwaltskanzleien, Universitäten, Verteidigungsunternehmen, politische Denkfabriken und NGOs. Instanzen wie selbige unterstreichen weiter, dass Microsoft Exchange-Server wertvolle Ziele z. Hd. Hacker, die in kritische Netzwerke eindringen wollen”, fügte Jogi hinzu.
Ebenfalls angesprochen werden vier publik prominent gegebene, freilich nicht ausgenutzte Sicherheitslücken –
- CVE-2021-43208 (CVSS-Punktzahl: 7,8) – Sicherheitsanfälligkeit in Sachen Remotecodeausführung im 3D-Viewer
- CVE-2021-43209 (CVSS-Punktzahl: 7,8) – Sicherheitsanfälligkeit in Sachen Remotecodeausführung im 3D-Viewer
- CVE-2021-38631 (CVSS-Punktzahl: 4,4) – Sicherheitsanfälligkeit in Sachen jener Offenlegung von Informationen im Windows Remote Desktop Protocol (RDP)
- CVE-2021-41371 (CVSS-Punktzahl: 4,4) – Sicherheitsanfälligkeit in Sachen jener Offenlegung von Informationen im Windows Remote Desktop Protocol (RDP)
Welcher November-Patch von Microsoft enthält Neben… eine Störungsbehebung z. Hd. CVE-2021-3711, vereinen kritischen Pufferüberlauffehler in jener SM2-Entschlüsselungsfunktion von OpenSSL, jener Finale August 2021 prominent wurde und von Gegnern missbraucht werden könnte, um willkürlichen Identifikator auszuführen und eine Denial-of- Dienstzustand (DoS).
Andere wichtige Korrekturen zusammenfassen Korrekturen z. Hd. mehrere Fehler für jener Remotecodeausführung in Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), Remote Desktop Client (CVE -2021-38666) und lokale Versionen von Microsoft Dynamics 365 (CVE-2021-42316).
Schließlich wird dies Update durch Patches z. Hd. eine Warteschlange von Sicherheitslücken für jener Rechteausweitung harmonisch, die NTFS (CVE-2021-41367, CVE-2021-41370, CVE-2021-42283), Windows-Kernel (CVE-2021-42285), Visual Studio Identifikator sich manifestieren in (CVE-2021-42322), Windows Desktop Bridge (CVE-2021-36957) und Windows So gut wie FAT File System Driver (CVE-2021-41377)
Um die neuesten Sicherheitsupdates zu installieren, können Windows-Benutzer zu Start > Einstellungen > Update & Sicherheit > Windows Update in Betracht kommen oder nachher Windows-Updates suchen auswählen.
Software-Patches von anderen Anbietern
Neben Microsoft wurden Neben… von einer Warteschlange anderer Versorger Sicherheitsupdates veröffentlicht, um mehrere Schwachstellen zu beheben, darunter –
[ad_2]