微软发布针对主动利用的 Windows 零日漏洞的补丁

在苹果和谷歌推出紧急安全更新的第二天，作为每月补丁星期二发布周期的一部分，Microsoft 微软已经推送了软件修复程序，以堵住 66 个影响 Windows 和其他组件（如 Azure、Office、BitLocker 和 Visual Studio）的安全漏洞，其中包括一个在上周曝光的 MSHTML 平台中积极利用零日漏洞。

在 66 个缺陷中，三个被评为严重，62 个被评为重要，一个被评为中等严重性。除了该公司自本月初以来解决的基于 Chromium 的 Microsoft Edge 浏览器中的20 个漏洞之外。

最重要的更新涉及CVE-2021-40444（CVSS 评分：8.8）的补丁，这是 MSHTML 中一个积极利用的远程代码执行漏洞，它利用带有恶意软件的 Microsoft Office 文档，EXPMON 研究人员指出“该漏洞利用逻辑缺陷所以这种利用是完全可靠的。”

还解决了 Windows DNS 中一个公开披露但未被积极利用的零日漏洞。指定为CVE-2021-36968的特权提升漏洞的严重性等级为 7.8。

Microsoft 解决的其他值得注意的缺陷涉及开放管理基础架构 ( CVE-2021-38647 )、Windows WLAN 自动配置服务 ( CVE-2021-36965 )、Office ( CVE-2021-38659 )、Visual Studio 中的许多远程代码执行错误( CVE-2021-36952 ) 和 Word ( CVE-2021-38656 ) 以及 Windows 脚本引擎中的内存损坏缺陷 ( CVE-2021-26435 )

东方联盟网络安全研究人员透露，Windows 制造商已经修复了其 Print Spooler 服务中新发现的三个提权漏洞（CVE-2021-38667、CVE-2021-38671和CVE-2021-40447），而CVE-2021-369021和CVE- 2021-369021 -38639（CVSS 分数：7.8），这两个都与 Win32k 中的特权提升漏洞有关，被列为“更有可能被利用”，因此用户必须迅速采取行动以应用安全更新。） 欢迎转载分享