按 Enter 到主內容區
:::

TWCERT-電子報

:::

微軟推出 2021 年 12 月 Patch Tuesday 更新修補包,共更新 67 個漏洞,內含 6 個 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-12-24
  • 點閱次數:484
微軟推出 12 月 Patch Tuesday 更新修補包,共更新 67 個漏洞,內含 6 個 0-day 漏洞

內文

微軟最新推出 2021 年 12 月的「Patch Tuesday」資安更新修補包,一共修復多達 67 個資安漏洞,其中更有 6 個 0-day 漏洞;各種微軟產品用戶,應立即更新至最新版本。

在這 67 個得到修復的資安漏洞之中,依漏洞類型來區分的話,其類型及數量如下:

  • 執行權限提升漏洞:21 個;
  • 遠端執行任意程式碼漏洞:26 個;
  • 資訊洩露漏洞:10 個;
  • 服務阻斷攻擊漏洞:3 個;
  • 詐欺假冒漏洞:7 個。

若以嚴重程度來區分,共有 7 個漏洞歸類為嚴重(Critical)等級,其餘 60 個則為重要(Important)等級。

至於此次修復的 6 個 0-day 漏洞中,較嚴重且已知遭到駭侵者利用於攻擊行動的,共有兩個 0-day 漏洞,其中較嚴重的是 CVE-2021-43890,屬於 Windows AppX 安裝程式的漏洞,先前已有多個惡意軟體散布攻擊案例係利用此漏洞發動攻擊,包括惡名昭彰的 Emotet、TrickBot 與 BazarLoader 等。

另一個較嚴重的 0-day 漏洞則是 CVE-2021-41333。本漏洞發生於 Windows Print Spooler 子系統,可用以提升駭侵者的執行權限,先前也曾遭駭侵者用於發動攻擊,而且利用此漏洞的程序相當簡易。

微軟這次 Patch Tuesday 修復的漏洞,涵蓋的微軟產品相當多元,包括 Microsoft Office、Microsoft PowerShell、Microsoft Windows、Microsoft Edge Browser 等;採用這些微軟產品的用戶或系統管理者,應立即套用適用的產品更新,以避免駭侵者利用已知的漏洞發動攻擊而造成損失。

回頁首