Microsoft November 2021 Patch Selasa: 55 bug tergencet, dua di bawah eksploitasi aktif
Security

Microsoft November 2021 Patch Selasa: 55 bug tergencet, dua di bawah eksploitasi aktif

Microsoft telah merilis 55 perbaikan keamanan untuk perangkat lunak termasuk patch yang mengatasi kerentanan zero-day yang dieksploitasi secara aktif di alam liar.

Putaran patch terbaru raksasa Redmond, biasanya dirilis pada hari Selasa kedua setiap bulan dalam apa yang dikenal sebagai Patch Tuesday, mencakup perbaikan untuk enam kerentanan kritis, 15 bug eksekusi kode jarak jauh (RCE), kebocoran informasi, dan peningkatan kelemahan keamanan hak istimewa. , serta masalah yang dapat menyebabkan spoofing dan gangguan.

Produk yang terpengaruh oleh pembaruan keamanan November termasuk Microsoft Azure, browser Edge berbasis Chromium, Microsoft Office — serta produk terkait seperti Excel, Word, dan SharePoint — Visual Studio, Exchange Server, Windows Kernel, dan Windows Defender.

Baca terus:

Beberapa kerentanan paling menarik yang diselesaikan dalam pembaruan ini, semuanya dianggap penting, adalah:

  • CVE-2021-42321: (CVSS:3.1 8.8 / 7.7). Di bawah eksploitasi aktif, kerentanan ini berdampak pada Microsoft Exchange Server dan karena validasi argumen cmdlet yang tidak tepat, dapat menyebabkan RCE. Namun, penyerang harus diautentikasi.
  • CVE-2021-42292: (CVSS:3.1 7.8 / 7.0). Juga terdeteksi sebagai dieksploitasi di alam liar, kerentanan ini ditemukan di Microsoft Excel dan dapat digunakan untuk menghindari kontrol keamanan. Microsoft mengatakan bahwa Panel Pratinjau bukanlah vektor serangan. Tidak ada tambalan yang saat ini tersedia untuk Microsoft Office 2019 untuk Mac atau Microsoft Office LTSC untuk Mac 2021.
  • CVE-2021-43209: (CVSS:3.1 7.8 / 6.8). Kerentanan 3D Viewer dipublikasikan, bug ini dapat dieksploitasi secara lokal untuk memicu RCE.
  • CVE-2021-43208: (CVSS:3.1 7.8 / 6.8). Masalah lain yang diketahui, kelemahan keamanan Penampil 3D ini juga dapat dipersenjatai oleh penyerang lokal untuk tujuan eksekusi kode.
  • CVE-2021-38631: (CVSS:3.0 4.4 / 3.9). Juga dipublikasikan, kelemahan keamanan ini, yang ditemukan di Windows Remote Desktop Protocol (RDP), dapat digunakan untuk pengungkapan informasi.
  • CVE-2021-41371: (CVSS:3.1 4.4 / 3.9). Akhirnya, kerentanan RDP ini, yang diketahui sebelum patch tersedia, juga dapat dieksploitasi secara lokal untuk memaksa kebocoran informasi.

Menurut Zero Day Initiative (ZDI), secara historis, ini adalah jumlah kerentanan yang relatif rendah yang diselesaikan selama bulan November.

“Tahun lalu, ada lebih dari dua kali lipat jumlah CVE yang diperbaiki ini,” kata organisasi itu. “Bahkan kembali ke 2018 ketika hanya ada 691 CVE yang diperbaiki sepanjang tahun, ada lebih banyak CVE November yang diperbaiki daripada di bulan ini. Mengingat bahwa Desember biasanya merupakan bulan yang lebih lambat, itu menyebabkan orang bertanya-tanya apakah ada backlog patch menunggu penyebaran karena berbagai faktor.”

Bulan lalu, Microsoft menyelesaikan 71 bug dalam batch perbaikan keamanan Oktober. Catatan khusus adalah tambalan untuk total empat kelemahan zero-day, salah satunya dieksploitasi secara aktif di alam liar, sedangkan tiga dipublikasikan.

Sebulan sebelumnya, raksasa teknologi itu menangani lebih dari 60 kerentanan selama Patch September Selasa. Di antara tambalan adalah perbaikan untuk RCE di MSHTML.

Dalam berita Microsoft baru-baru ini, Visual Studio 2022 dan .NET 6 tersedia secara umum pada 8 November. Visual Studio 2022 menyertakan penyegaran beberapa fitur serta peningkatan debug untuk pengembang. .NET 6 menyertakan peningkatan kinerja dan merupakan versi pertama yang dapat mendukung Windows Arm64 dan Apple Arm64 Silicon.


Di samping putaran Patch Tuesday Microsoft, vendor lain juga telah menerbitkan pembaruan keamanan yang dapat diakses di bawah ini.

Posted By : togel hari ini hongkong