在 9 月的補丁星期二活動日中,微軟共計修復了 66 處系統漏洞和 20 處 Microsoft Edge 中的 Chromium 安全漏洞。受影響的產品包括。Azure、Edge(Android、Chromium 和 iOS)、Office、SharePoint Server、Windows、Windows DNS 和 Windows Subsystem for Linux。
在修復的這些漏洞中,其中 3 個被評為“critical”(關鍵)、1 個被評為“moderate”(中等),其餘的被評為“important”(重要)。
其中一個已經公開披露的 CVE 解決了 MSHTML 中的一個關鍵零日漏洞(CVE-2021-40444),也被稱為微軟的傳統 Trident 渲染引擎。該漏洞可被濫用,以實現任意代碼的執行,在承載瀏覽器渲染引擎的微軟 Office 文檔中使用惡意的 ActiveX 控件。這是我們在 9 月 7 日了解到的漏洞,並被用於針對 Office 用戶的攻擊。利用該漏洞的代碼已經在網絡上和安全研究人員之間流傳,所以要打好補丁。
另一項修復更新了 8 月 11 日公開披露的補丁,該補丁解決了上個月的 Print Spooler RCE(CVE-2021-36958)。IT資產管理公司 Ivanti 的產品管理副總裁 Chris Goettl 在發給 The Register 的一份聲明中解釋說:“這次更新已經刪除了以前定義的緩解措施,因為它不再適用,並解決了研究人員在原始修復之外發現的其他問題。該漏洞已被公開披露,而且可以獲得功能性的利用代碼,因此這使本月的Windows操作系統更新變得更加緊迫”。
Goettl 說之前披露的第三個漏洞(CVE-2021-36968)解決了 Windows DNS 中的一個權限提升漏洞。這個 CVE 適用於傳統的 Windows 操作系統。
還有另外兩個關鍵漏洞修復:一個是 Windows WLAN 自動配置服務遠程代碼執行漏洞(CVE-2021-36965)和一個開放管理基礎設施遠程代碼執行漏洞(CVE-2021-38647)。Zero-Day Initiative 的 Dustin Childs 在一份公告中說,前者允許鄰近網絡的攻擊者,如咖啡店的公共 Wi-Fi,接管一個有漏洞的目標系統。
後者甚至更嚴重。這是一個嚴重性(CVSS 9.8)的錯誤,在Linux和Unix風味的操作系統的開放管理基礎設施(OMI)。它可以被利用來獲得對網絡上有漏洞的機器的管理控制,不需要認證或其他檢查。
Childs警告說:“這個漏洞不需要用戶互動或權限,所以攻擊者只需向受影響的系統發送一個特製的信息,就可以在受影響的系統上運行他們的代碼。OMI用戶應該迅速測試和部署這個”。