按 Enter 到主內容區
:::

TWCERT-電子報

:::

微軟六月資安修補包,更新 50 個資安漏洞,其中含 6 個 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-06-10
  • 點閱次數:399
微軟六月資安修補包,更新 50 個資安漏洞,其中含 6 個 0-day 漏洞 TWCERT/CC

CVE編號

CVE-2021-31955、CVE-2021-31956、CVE-2021-33739、CVE-2021-33742、CVE-2021-31199、CVE-2021-31201等

內文

微軟近期發布的 2021 年 6 月資安修補包,一共修復微軟各項産品中多達 50 個資安漏洞,其中更含有 6 個 0-day 漏洞,微軟用戶應立即套用更新。

微軟在 6 月 8 日推出例行性的「Patch Tuesday」每月軟體資安更新修補包,針對旗下各款産品,一共修復多達 50 個資安漏洞,其中更含有 6 個 0-day 漏洞;微軟用戶應立即下載執行最新更新,以降低遭駭侵者利用這些漏洞發動攻擊的風險。

在這 50 個得到修復的漏洞中,歸類為「嚴重」等級漏洞者有 5 個,其餘 45 個漏洞的分級均為「重要」。

而這批更新中修復的 6 個 0-day 漏洞,過去都曾有遭到駭侵者利用於攻擊活動的記錄,其 CVE 編號與漏洞發生原因如下:

  • CVE-2021-31955:發生於 Windows 核心資訊洩露的錯誤;
  • CVE-2021-31956:發生於 Windows NTFS 檔案系統,可用以提升執行權限;
  • CVE-2021-33739:發生於 Windows DWN 核心程式庫,可用以提升執行權限;
  • CVE-2021-33742:發生於 Windows MSHTML 平台的錯誤,可用以遠端執行任意程式碼;
  • CVE-2021-31199:發生於 Microsoft Enhanced Cryptographic Provider,可用以提升執行權限;
  • CVE-2021-31201:發生於 Microsoft Enhanced Cryptographic Provider,可用以提升執行權限。

據資安廠商卡巴斯基的研究報告指出,CVE-2021-31955 和 CVE-2021-31956 這兩個 0-day 漏洞,已遭一個名為 PuzzleMaker 的駭侵團體用於攻擊活動之中。

微軟各種産品用戶與系統管理者,應立即按照微軟發布的更新指南,立即套用本月的資安修補包,以降低系統遭駭侵者攻擊的風險。

解決辦法

立即依微軟發布的更新指南進行更新修補
回頁首