2021年2月的补丁星期二来了又走了。和以往一样,微软推出了许多重要的安全补丁来修补Windows10的漏洞。
本月,微软的修补程序修复了11个关键漏洞,其中一个是在周二的修补程序发布之前,一个零日漏洞正在被广泛利用。
从数量上看,2021年2月的补丁星期二并不是打击最重的。微软为其众多产品线共64个漏洞发布了修补程序。
值得注意的最大漏洞是CVE-2021-1732,这是一个零天漏洞,允许在Windows操作系统内核Win32k中提升权限。如果受到攻击,攻击者可以使用提升的权限执行代码,从而可以完全控制目标系统。
根据一些安全报告,在安全修补程序发布之前,这种特权升级漏洞正被积极利用。微软的补丁说明感谢DBAPPSecurity的安全团队,他们的报告详细说明了零日是如何被利用的。这家中国安全公司认为,这一漏洞是一名老练的攻击者所为,可能是一名APT。
在其他地方,三个关键漏洞在CVSS量表(对漏洞进行排名)上的得分分别为9.8分。9.8处于漏洞级别的最顶端,因此它们非常值得立即修补。
CVE-2021-24078是一个影响Windows DNS服务器组件的远程代码执行错误。如果受到攻击,攻击者可以劫持公司环境中的域名流量,导致流量被重定向到危险的网站、内容或恶意软件。
CVE-2021-24074和CVE-2021-24094都涉及TCP/IP漏洞。这两个漏洞具有如此重要的意义,以至于微软发表了一篇单独的博客文章详细说明了这些问题。简言之,这些漏洞“非常复杂,很难创建功能性攻击,因此短期内不太可能(被攻击)。”
相关:如何删除旧的Windows更新文件
本月周二发布的补丁程序的一个有趣之处是已经公开的漏洞数量。在微软公布其漏洞修补程序的完整列表之前,已经披露了六个漏洞:
虽然这是不寻常的,但微软也注意到,这些漏洞在补丁发布之前都没有被利用。
一如既往,您应该尽快更新您的Windows10系统和其他Microsoft产品。如果您转到“设置”>;“Windows更新”并选择“立即下载”或“立即安装”,则这些修补程序在Windows 10上已经可用。
...味着世界上大多数的英特尔处理器都面临着风险,甚至像微软Azure和亚马逊网络服务这样的服务也面临着风险。 ...
... 其他公司则采取了不同的做法。例如,微软现在提供了高达25万美元的缺陷赏金计划的幽灵缺陷。 ...
...发之前,我们需要看看狩猎的世界。对于开发人员来说,发布包含零错误的软件是非常困难的;因此,这会导致希望找到这些bug的漏洞猎人。 ...
...者使用另一种攻击矢量来攻击MalButhByb,滥用“特权访问微软Office 365和Azure环境的应用程序”。 ...
上一个微软补丁在2020年的星期二充斥着安全补丁,更新了影响大多数微软产品的漏洞。 ...
微软的“补丁星期二”发生在每月的第二个星期二。这一天,微软和clockwork一样,发布了针对Windows10、Windows7、MicrosoftOffice及其其他软件的大型更新包。 什么是微软周二发布补丁(microsoft’s patch tuesday)? patchtuesday有时被称为“...
...多个版本的Internet Explorer中存在安全漏洞的短短几天后,微软发布了一个Windows修复程序来解决这个问题,并计划在本周五进行全面更新。该漏洞于周一被发现,通过特制的Flash动画让恶意软件绕过现有的安全协议,使数百万台机...
微软正在为其当前支持的所有Internet Explorer版本发布一套修补程序。安全更新是在发现一个漏洞之后进行的,该漏洞可能允许黑客通过PC获得完整的用户权限,允许他们安装程序、查看和删除数据,更简单的是通过访问恶意网站...
...下,谷歌将把截止日期向前或向后移动。 微软批评谷歌在Windows8.1发布补丁前两天就暴露了一个安全漏洞 一个月前,微软公开批评谷歌在计划修复windows8.1漏洞的两天前发布了该漏洞的信息。微软表示,谷歌的做...