微軟再修補 108 漏洞  包含 4 個 Exchange Server 重大漏洞

微軟本周二再釋出四月份的Patch Tuesday,修補1項已被攻擊的零時差漏洞,以及4項重大Microsoft Exchange Server漏洞。

微軟本周二再釋出四月份的 Patch Tuesday,修補 1 項已被攻擊的零時差漏洞,以及 4 項重大 Microsoft Exchange Server 漏洞。

今天的更新共修補了 108 項漏洞,包括 19 項重大及 89 項重要漏洞。這些數字不包括本月稍早修補的 6 項 Edge 漏洞。

這 19 項重大漏洞包含 5 個被公開的零時差漏洞,其中一個已被用於攻擊。而今天揭露的 4 項 Exchange Server 漏洞,則是由 NSA 發現並通報。

再修補四項 Exchange 漏洞

被公開的 5 項漏洞其中 4 項分別是 RPC Endpoint 的權限升級漏洞 (CVE-2021-27091)、Windows NTFS DoS 漏洞 (CVE-2021-28312)、Windows Installer 資訊外洩漏洞 (CVE-2021-28437)、以及 Azure ms-rest-nodeauth Library 的權限升級漏洞 (CVE-2021-28458)。

遭到攻擊的是 Win32k 元件的 CVE-2021-28310,它是一個權限升級漏洞,可結合其他瀏覽器漏洞完成沙箱逃逸或取得系統權限。卡巴斯基相信攻擊者是 BITTER APT 組織。但卡巴斯基還無法確定駭客是否已經運用了另一個瀏覽器零時差或已知漏洞。

今天修補的 Exchange 漏洞將讓 Exchange Server 管理員繼續疲於奔命。這 4 項漏洞都是由美國國安局 (NSA) 發現。4 個漏洞皆為遠端程式碼執行 (RCE) 漏洞,包括 CVE-2021-28480 、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483,其中 CVE-2021-28480 、CVE-2021-28481 為前驗證漏洞,意謂著攻擊者無需登入 Exchange Server 即可發動攻擊,CVSS 3.0 風險層級高達 9.8。

受影響的版本包括 Exchange Server 2013 CU23、2016 CU19 及 CU20、Exchange Server 2019 CU8 及 CU9。CVE-2021-28482 及 CVE-2021-28483 則分別為 8.8 和 9.0。不過微軟表示,目前並未發現 4 個漏洞遭到開採。

本月稍早修補的 6 項 Edge 漏洞則是承襲 Chromium,包括,CVE-2021-21199(使用已釋放記憶體)、CVE-2021-21194(使用已釋放記憶體)、 CVE-2021-21197(緩衝溢位)、CVE-2021-21198(頻外讀取)、CVE-2021-21195(使用已釋放記憶體)及 CVE-2021-21196(緩衝溢位)。其中 CVE-2021-21195 是上周在 Pwn2Own 駭客競賽中揭露,位於 JavaScript V8 引擎的 RCE 漏洞,本周一名研究人員公開概念驗證開採程式。

來源:BleepingCompuerThreatPost

 

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416