按 Enter 到主內容區
:::

TWCERT-電子報

:::

微軟推出 2021 年 10 月 Patch Tuesday 資安修補包,修復多個嚴重及 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-10-18
  • 點閱次數:55
微軟推出 2021 年 10 月 Patch Tuesday 資安修補包,修復多個嚴重及 0-day 漏洞 TWCERT/CC

內文

Microsoft 近日推出 2021 年 10 月份例行性資安更新修補包「Patch Tuesday」,一共修復多達 74 個資安漏洞,其中更包括 4 個 0-day 漏洞,用戶應立即套用更新。

這次的 Patch Tuesday 資安漏洞修補包,除了上述的 74 個更新外,還有另外 7 個屬於 Microsoft Edge 的資安更新;以修補完成的漏洞類型來看這 81 個漏洞,分別如下:

  • 執行權限提升漏洞:21 個;
  • 資安功能跳過漏洞:6 個;
  • 遠端執行任意程式碼漏洞:20 個;
  • 資訊外洩漏洞:13 個;
  • 服務阻斷漏洞:5 個;
  • 詐騙假冒漏洞:9 個。

值得注意的是,在這批修復的資安漏洞中,共有 4 個 0-day 漏洞如下:

  • CVE-2021-40449:Win32K 權限提升漏洞;這個漏洞據報已遭駭侵者大規模濫用於發動攻擊;
  • CVE-2021-40469:Windows DNS Server 遠端執行任意程式碼漏洞;
  • CVE-2021-41335:Windows Kernel 權限提升漏洞;
  • CVE-2021-41338:Windows AppContainer 防火牆規則資安功能跳過漏洞。

在嚴重程度方面,這次 Patch Tuesday 中有三個漏洞屬於「嚴重」等級,分別為:

  • CVE-2021-40486:Microsoft Word 遠端執行任意程式碼漏洞;
  • CVE-2021-40461:Windows Hyper-V 遠端執行任意程式碼漏洞;
  • CVE-2021-38672:同樣是 Windows Hyper-V 遠端執行任意程式碼漏洞。

解決辦法

由於本次更新檔案極多,建議所有微軟產品用戶,應立即透過系統更新功能,下載安裝這次資安漏洞修補包,以避免遭駭侵者透過已知漏洞發動攻擊。
回頁首