久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

0x00 漏洞概述

2021年9月14日，Microsoft發(fā)布了9月份的安全更新，本次發(fā)布的安全更新修復(fù)了包括2個0 day漏洞在內(nèi)的60個安全漏洞(包括MicrosoftEdge 為86個漏洞)，其中有3個漏洞評級為嚴重，56個漏洞評級為高危，1個漏洞評級為中危。

0x01 漏洞詳情

本次發(fā)布的安全更新涉及Azure、Microsoft Edge、Microsoft Office、Microsoft Windows DNS、Visual Studio、Windows Installer、Windows SMB、Windows Kernel和Windows Update等多個產(chǎn)品和組件。

在86個漏洞中(包括Microsoft Edge)，27個為權(quán)限提升漏洞，2個為安全功能繞過漏洞，16個為遠程代碼執(zhí)行漏洞，11個為信息泄露漏洞，1個為拒絕服務(wù)漏洞，以及8個欺騙漏洞。

Microsoft本次修復(fù)的2個0 day漏洞包括：

● Windows DNS 權(quán)限提升漏洞(CVE-2021-36968)

該漏洞的CVSSv3評分為7.8，攻擊復(fù)雜度和所需權(quán)限低，且無需用戶交互即可被本地利用。目前此漏洞已公開披露，但未被積極利用。

● Microsoft MSHTML 遠程代碼執(zhí)行漏洞(CVE-2021-40444)

該漏洞為MSHTML (Internet Explorer 和 Office 使用的組件) 中影響Microsoft Windows 的遠程代碼執(zhí)行漏洞，該漏洞已檢測到在野利用，目前已被修復(fù)。Microsoft已于9月7日提前發(fā)布公告，詳情請參考Microsoft官方公告或VSRC發(fā)布的安全通告。

3個評級為嚴重的漏洞包括：

● Azure Open Management Infrastructure遠程代碼執(zhí)行漏洞(CVE-2021-38647)

該漏洞的CVSSv3評分為9.8，無需用戶交互即可遠程利用。Microsoft的可利用性評估將其評估為不太可能被利用。

● Windows 腳本引擎內(nèi)存損壞漏洞(CVE-2021-26435)

該漏洞可導(dǎo)致Windows 腳本引擎中的遠程代碼執(zhí)行，但利用此漏洞需要攻擊者誘使用戶單擊鏈接，然后打開惡意文件，該漏洞的CVSSv3 評分為8.8。

● Windows WLAN AutoConfig 服務(wù)遠程代碼執(zhí)行漏洞(CVE-2021-36965)

該漏洞無需用戶交互，且攻擊復(fù)雜度低，其CVSSv3評分為 8.8。

此外，本次修復(fù)的關(guān)鍵漏洞(應(yīng)優(yōu)先修復(fù))還包括：

● Windows Common Log File System Driver權(quán)限提升漏洞(CVE-2021-38633、 CVE-2021-36963)

這2個漏洞的CVSSv3評分均為 7.8，且無需用戶交互即可被本地利用，攻擊者可以利用這些漏洞來提升權(quán)限并更改目標系統(tǒng)。Microsoft的可利用性評估將這2個漏洞評估為更有可能被利用。

● Windows Print Spooler 權(quán)限提升漏洞(CVE-2021-38671)

該漏洞的CVSSv3評分為 7.8，無需用戶交互即可被本地利用。Microsoft的可利用性評估將其評估為更有可能被利用。

0x02 處置建議

目前Microsoft已發(fā)布相關(guān)安全更新，鑒于漏洞的嚴重性，建議受影響的用戶盡快修復(fù)。

(一) Windows update更新

自動更新：

Microsoft Update默認啟用，當系統(tǒng)檢測到可用更新時，將會自動下載更新并在下一次啟動時安裝。

手動更新：

1、點擊“開始菜單”或按Windows快捷鍵，點擊進入“設(shè)置”

2、選擇“更新和安全”，進入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”，具體步驟為“控制面板”->“系統(tǒng)和安全”->“Windows更新”)

3、選擇“檢查更新”，等待系統(tǒng)將自動檢查并下載可用更新。

4、重啟計算機，安裝更新系統(tǒng)重新啟動后，可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新，可以點擊該更新名稱進入微軟官方更新描述鏈接，點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”，然后在新鏈接中選擇適用于目標系統(tǒng)的補丁進行下載并安裝。

(二)手動安裝更新

Microsoft官方下載相應(yīng)補丁進行更新。

下載鏈接：https://msrc.microsoft.com/update-guide/vulnerability

0x03 參考鏈接

https://msrc.microsoft.com/update-guide/vulnerability

https://mp.weixin.qq.com/s/z3uAX0Z5VUM-VlYVAW_kPg

https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2021-patch-tuesday-fixes-2-zero-days-60-flaws/

https://blog.qualys.com/vulnerabilities-threat-research/2021/09/14/microsoft-and-adobe-patch-tuesday-september-2021-microsoft-60-vulnerabilities-with-3-critical-adobe-61-vulnerabilities

0x04 更新版本

0x05 文檔附錄

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

來源：維他命安全