我们对 9 月补丁星期二有什么期待?
如果您想随时了解这家总部位于雷德蒙德的科技公司在这些补丁星期二活动中所做的一切,您一定记得上个月的批次。
迫于严重的安全问题,微软发布了大量安全修复程序,旨在解决一些在野外发生的漏洞。
Redmond 官员提供了一个详细的解决方法来禁用 Internet Explorer 中所有 ActiveX 控件的安装,这将减轻这种攻击。
注意解决此漏洞的更新,否则您将需要考虑此缓解措施以在短期内解决问题,直到发布修复程序。CVSS 3.0 得分为 8.8。
微软追踪为被积极利用的零日漏洞已于 2021 年 8 月修补,具体如下:
| 标签 | CVE ID | CVE 标题 | 严重性 |
|---|---|---|---|
| .NET Core 和 Visual Studio | CVE-2021-34485 | .NET Core 和 Visual Studio 信息泄露漏洞 | 重要的 |
| .NET Core 和 Visual Studio | CVE-2021-26423 | .NET Core 和 Visual Studio 拒绝服务漏洞 | 重要的 |
| ASP.NET Core 和 Visual Studio | CVE-2021-34532 | ASP.NET Core 和 Visual Studio 信息泄露漏洞 | 重要的 |
| 天蓝色 | CVE-2021-36943 | Azure CycleCloud 提权漏洞 | 重要的 |
| 天蓝色 | CVE-2021-33762 | Azure CycleCloud 提权漏洞 | 重要的 |
| 天蓝色球体 | CVE-2021-26428 | Azure Sphere 信息泄露漏洞 | 重要的 |
| 天蓝色球体 | CVE-2021-26430 | Azure Sphere 拒绝服务漏洞 | 重要的 |
| 天蓝色球体 | CVE-2021-26429 | Azure Sphere 提权漏洞 | 重要的 |
| Microsoft Azure 活动目录连接 | CVE-2021-36949 | Microsoft Azure Active Directory Connect 身份验证绕过漏洞 | 重要的 |
| 微软动态 | CVE-2021-36946 | Microsoft Dynamics Business Central 跨站脚本漏洞 | 重要的 |
| 微软动态 | CVE-2021-36950 | Microsoft Dynamics 365(本地)跨站点脚本漏洞 | 重要的 |
| 微软动态 | CVE-2021-34524 | Microsoft Dynamics 365(本地)远程代码执行漏洞 | 重要的 |
| Microsoft Edge(基于 Chromium) | CVE-2021-30591 | Chromium:CVE-2021-30591 在文件系统 API 中免费使用 | 未知 |
| Microsoft Edge(基于 Chromium) | CVE-2021-30592 | Chromium:CVE-2021-30592 选项卡组中的越界写入 | 未知 |
| Microsoft Edge(基于 Chromium) | CVE-2021-30597 | Chromium:CVE-2021-30597 在浏览器 UI 中免费使用 | 未知 |
| Microsoft Edge(基于 Chromium) | CVE-2021-30594 | Chromium:CVE-2021-30594 在页面信息 UI 中免费使用 | 未知 |
| Microsoft Edge(基于 Chromium) | CVE-2021-30596 | Chromium:CVE-2021-30596 导航中的安全 UI 不正确 | 未知 |
| Microsoft Edge(基于 Chromium) | CVE-2021-30590 | Chromium:CVE-2021-30590 书签中的堆缓冲区溢出 | 未知 |
| Microsoft Edge(基于 Chromium) | CVE-2021-30593 | Chromium:CVE-2021-30593 标签条中读取越界 | 未知 |
| 微软图形组件 | CVE-2021-34530 | Windows 图形组件远程代码执行漏洞 | 危急 |
| 微软图形组件 | CVE-2021-34533 | Windows 图形组件字体解析远程代码执行漏洞 | 重要的 |
| 微软办公软件 | CVE-2021-34478 | Microsoft Office 远程代码执行漏洞 | 重要的 |
| 微软办公室SharePoint | CVE-2021-36940 | Microsoft SharePoint Server 欺骗漏洞 | 重要的 |
| 微软办公字 | CVE-2021-36941 | Microsoft Word 远程代码执行漏洞 | 重要的 |
| 微软脚本引擎 | CVE-2021-34480 | 脚本引擎内存损坏漏洞 | 危急 |
| Microsoft Windows 编解码器库 | CVE-2021-36937 | Windows Media MPEG-4 视频解码器远程代码执行漏洞 | 重要的 |
| 远程桌面客户端 | CVE-2021-34535 | 远程桌面客户端远程代码执行漏洞 | 危急 |
| Windows蓝牙服务 | CVE-2021-34537 | Windows 蓝牙驱动程序提权漏洞 | 重要的 |
| Windows 加密服务 | CVE-2021-36938 | Windows 加密原语库信息泄露漏洞 | 重要的 |
| Windows Defender的 | CVE-2021-34471 | Microsoft Windows Defender 提权漏洞 | 重要的 |
| Windows 事件跟踪 | CVE-2021-34486 | Windows 事件跟踪特权提升漏洞 | 重要的 |
| Windows 事件跟踪 | CVE-2021-34487 | Windows 事件跟踪特权提升漏洞 | 重要的 |
| Windows 事件跟踪 | CVE-2021-26425 | Windows 事件跟踪特权提升漏洞 | 重要的 |
| Windows媒体 | CVE-2021-36927 | Windows 数字电视调谐器设备注册应用程序特权提升漏洞 | 重要的 |
| Windows MSHTML 平台 | CVE-2021-34534 | Windows MSHTML 平台远程代码执行漏洞 | 危急 |
| Windows NTLM | CVE-2021-36942 | Windows LSA 欺骗漏洞 | 重要的 |
| Windows 打印后台处理程序组件 | CVE-2021-34483 | Windows 打印后台处理程序特权提升漏洞 | 重要的 |
| Windows 打印后台处理程序组件 | CVE-2021-36947 | Windows Print Spooler 远程代码执行漏洞 | 重要的 |
| Windows 打印后台处理程序组件 | CVE-2021-36936 | Windows Print Spooler 远程代码执行漏洞 | 危急 |
| NFS ONCRPC XDR 驱动程序的 Windows 服务 | CVE-2021-36933 | 针对 NFS ONCRPC XDR 驱动程序信息泄露漏洞的 Windows 服务 | 重要的 |
| NFS ONCRPC XDR 驱动程序的 Windows 服务 | CVE-2021-26433 | 针对 NFS ONCRPC XDR 驱动程序信息泄露漏洞的 Windows 服务 | 重要的 |
| NFS ONCRPC XDR 驱动程序的 Windows 服务 | CVE-2021-36932 | 针对 NFS ONCRPC XDR 驱动程序信息泄露漏洞的 Windows 服务 | 重要的 |
| NFS ONCRPC XDR 驱动程序的 Windows 服务 | CVE-2021-26432 | 针对 NFS ONCRPC XDR 驱动程序远程代码执行漏洞的 Windows 服务 | 危急 |
| NFS ONCRPC XDR 驱动程序的 Windows 服务 | CVE-2021-36926 | 针对 NFS ONCRPC XDR 驱动程序信息泄露漏洞的 Windows 服务 | 重要的 |
| Windows 存储空间控制器 | CVE-2021-34536 | 存储空间控制器提权漏洞 | 重要的 |
| Windows TCP/IP | CVE-2021-26424 | Windows TCP/IP 远程代码执行漏洞 | 危急 |
| Windows更新 | CVE-2021-36948 | Windows Update Medic 服务提权漏洞 | 重要的 |
| Windows 更新助手 | CVE-2021-36945 | Windows 10 更新助手提权漏洞 | 重要的 |
| Windows 更新助手 | CVE-2021-26431 | Windows 恢复环境代理提权漏洞 | 重要的 |
| Windows 用户配置文件服务 | CVE-2021-34484 | Windows 用户配置文件服务提权漏洞 | 重要的 |
| Windows 用户配置文件服务 | CVE-2021-26426 | Windows用户账户资料图片提权漏洞 | 重要的 |
然而,本月,随着微软从最后一个暑假回来,我们可以预期在所有操作系统中解决的 CVE 数量有限。
我们现在已经过了适用于 Windows 7 和 Server 2008/2008 R2 的扩展安全更新 (ESU) 的中点,因此运行这些操作系统的任何人都应该制定升级方案。
此外,随着 CVE-2021-40444 的公布,我们肯定会看到 Internet Explorer 更新。
