微軟於本周二(6/8)的Patch Tuesday修補了50個安全漏洞,當中有5個被列為重大(Critical)等級,並有6個已被開採。
這6個已被開採的漏洞分別是CVE-2021-31955、CVE-2021-31956、CVE-2021-33739、CVE-2021-33742、CVE-2021-31199與CVE-2021-31201。其中,CVE-2021-31955屬於Windows核心的資訊揭露漏洞,成功開採該漏洞將允許駭客檢視核心記憶體中的內容,僅被列為重要(Important)等級;CVE-2021-31956則是存在於NTFS的權限擴張漏洞,亦被列為重要等級,駭客必須先登入系統,以執行特定程式,或者是誘導使用者開啟惡意檔案,才能開採該漏洞,成功的開採將允許駭客掌控系統。
至於CVE-2021-33739則為DWM Core Library的權限擴張漏洞,為一本地端的權限擴張攻擊,駭客可能藉由網釣或惡意郵件以誘導使用者執行惡意程式碼,亦屬於重要等級。CVE-2021-31199則為Microsoft Enhanced Cryptographic Provider的權限擴張漏洞,與Adobe於今年5月修補的CVE-2021-28550漏洞有關,根據Adobe的說法,駭客已利用該漏洞針對Windows上的Adobe Reader用戶展開攻擊,CVE-2021-31199也僅被微軟列為重要等級。
CVE-2021-33742是藏匿在Windows MSHTML平臺的遠端程式攻擊漏洞。MSHTML是IE 11所使用的排版引擎,又被稱為Trident,雖然微軟已經宣布IE 11要在明年6月正式退役,但仍會繼續使用MSHTML來支援Microsoft Edge的IE模式,也會透過WebBrowser支援其它應用。微軟並未公布駭客開採CVE-2021-33742的途徑,但把它列為重大等級漏洞。
除了上述的CVE-2021-33742之外,本月微軟修補的其它4個重大漏洞還包括CVE-2021-31985、CVE-2021-31963、CVE-2021-31959與CVE-2021-31967,它們皆屬於遠端程式攻擊漏洞,其中,CVE-2021-31985涉及Microsoft Defender,CVE-2021-31963涉及SharePoint Server,CVE-2021-31959為腳本引擎的記憶體毀損漏洞,CVE-2021-31967則與VP9 Video Extensions有關。
資安團隊Zero Day Initiative(ZDI)本月還特別點名了CVE-2021-31962,這是Kerberos AppContainer的安全功能繞過漏洞,允許駭客繞過Kerberos的身分認證,也有可能取得任何服務主體名稱(SPN)認證,將允許未經授權的駭客存取可藉由SPN存取的任何服務,因而被列為本月應優先修補的微軟漏洞之一。
參考資料(如需詳細資訊請洽廠商)
微軟Patch Tuesday修補資訊(2021-06-09公告):https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-24
2024-12-23