微軟周二推出了安全補(bǔ)丁，共包含Microsoft Windows和其他軟件中的71個(gè)漏洞，其中包括一個(gè)針對(duì)主動(dòng)利用的權(quán)限提升漏洞的修復(fù)程序，該漏洞可與遠(yuǎn)程代碼執(zhí)行漏洞結(jié)合使用，以控制易受攻擊的系統(tǒng)。

其中兩個(gè)被解決的安全漏洞被評(píng)為“嚴(yán)重”，68個(gè)被評(píng)為“重要”，一個(gè)被評(píng)為“嚴(yán)重程度較低”，其中三個(gè)問(wèn)題在發(fā)布時(shí)被公開(kāi)列出。四個(gè)0 Day如下：

CVE-2021-40449(CVSS 評(píng)分：7.8)- Win32k 提權(quán)漏洞

CVE-2021-41335(CVSS 評(píng)分：7.8)——Windows 內(nèi)核特權(quán)提升漏洞

CVE-2021-40469(CVSS 評(píng)分：7.2)——Windows DNS 服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-41338(CVSS 評(píng)分：5.5)——Windows AppContainer 防火墻規(guī)則安全功能繞過(guò)漏洞

排在首位的是CVE-2021-40449，這是卡巴斯基在2021年8月下旬和2021年9月上旬發(fā)現(xiàn)的Win32k內(nèi)核驅(qū)動(dòng)程序中的一個(gè)釋放后使用漏洞，作為針對(duì)IT的廣泛間諜活動(dòng)的一部分公司、國(guó)防承包商和外交實(shí)體。這家網(wǎng)絡(luò)安全公司將威脅集群稱(chēng)為“mysterynail”。

其他值得注意的缺陷包括影響 Microsoft Exchange Server(CVE-2021-26427)、Windows Hyper-V(CVE-2021-38672和CVE-2021-40461)、SharePoint Server(CVE-2021-40487和CVE-)的遠(yuǎn)程代碼執(zhí)行漏洞2021-41344 ) 和 Microsoft Word ( CVE-2021-40486 ) 以及富文本編輯控件 ( CVE-2021-40454 ) 中的信息泄露缺陷。

CVE-2021-26427 的 CVSS 評(píng)分為 9.0，并被美國(guó)國(guó)家安全局確定。Qualys漏洞和威脅研究高級(jí)經(jīng)理表示，該項(xiàng)目強(qiáng)調(diào)“Exchange服務(wù)器是黑客試圖滲透商業(yè)網(wǎng)絡(luò)的高價(jià)值目標(biāo)?！薄?/p>

10月周二補(bǔ)丁修復(fù) Print Spooler 組件中新發(fā)現(xiàn)的兩個(gè)缺陷(CVE-2021-41332和CVE-2021-36970)，每個(gè)缺陷都涉及信息披露錯(cuò)誤和欺騙漏洞，這些漏洞已被標(biāo)記為“更有可能利用”可利用性指數(shù)評(píng)估。

安全研究人員表示，“欺騙漏洞通常表明攻擊者可以冒充或識(shí)別為另一個(gè)用戶(hù)?！薄霸谶@種情況下，攻擊者似乎可以濫用假脫機(jī)程序服務(wù)將任意文件上傳到其他服務(wù)器。”

來(lái)自其他供應(yīng)商的軟件補(bǔ)丁

除了微軟，許多其他供應(yīng)商也發(fā)布了補(bǔ)丁來(lái)解決幾個(gè)漏洞，包括：

Adobe

安卓

蘋(píng)果

思科

Citrix

英特爾

Linux發(fā)行版Oracle Linux、Red Hat和SUSE

SAP

施耐德電氣

西門(mén)子

VMware

0day漏洞意味著給犯罪分子可乘之機(jī)，尤其存在于軟件供應(yīng)商的產(chǎn)品當(dāng)中，極易引起軟件供應(yīng)鏈攻擊。據(jù)統(tǒng)計(jì)0day漏洞每年以100%速度增長(zhǎng)，而且修復(fù)周期極長(zhǎng)，極易受到網(wǎng)絡(luò)犯罪分子攻擊。但在日常普通安全測(cè)試中很難發(fā)現(xiàn)0day漏洞，因此需要提高軟件自身安全性以抵抗?jié)撛诘木W(wǎng)絡(luò)攻擊。在軟件開(kāi)發(fā)過(guò)程中加強(qiáng)安全建設(shè)，通過(guò)靜態(tài)代碼安全檢測(cè)等自動(dòng)化檢測(cè)工具，從源頭保證代碼規(guī)范安全，及時(shí)發(fā)現(xiàn)運(yùn)行時(shí)缺陷，在一定程度上減少因代碼問(wèn)題產(chǎn)生的缺陷及安全漏洞并進(jìn)行修正，從而為軟件運(yùn)行提供一個(gè)安全環(huán)境，也為后續(xù)企業(yè)在維護(hù)網(wǎng)絡(luò)安全方面降低成本。

參讀鏈接：

thehackernews.com/2021/10/upd…