在九月补丁周二活动日,微软共修复了MicrosoftEdge中的66个系统漏洞和20个Chromium安全漏洞。受影响的产品包括。Azure、Edge(Android、Chromium和iOS)、Office、SharePointServer、Windows、WindowsDNS和适用于Linux的Windows子系统。在这些修复的漏洞中,3个被评为“严重”,1个被评为“中等”,其余被评为“重要”。其中一个公开披露的CVE解决了MSHTML(也称为Microsoft的遗留Trident渲染引擎)中的严重零日漏洞(CVE-2021-40444)。该漏洞可能会被滥用,以在托管浏览器呈现引擎的MicrosoftOffice文档中使用恶意ActiveX控件来实现任意代码执行。这是我们在9月7日了解到的一个漏洞,并被用于对Office用户的攻击。利用该漏洞的代码已经在网络上和安全研究人员之间流传,因此请对其进行修补。另一个修复程序更新了8月11日公开披露的补丁,该补丁解决了上个月的PrintSpoolerRCE(CVE-2021-36958)。IT资产管理公司Ivanti的产品管理副总裁ChrisGoettl在给TheRegister的一份声明中解释说:“这次更新删除了之前定义的缓解措施,因为它不再适用,并解决了研究人员在原始修复之外发现的其他问题。”漏洞已经公开,功能利用代码已经可用,这使得本月的Windows操作系统更新变得更加紧迫。”Goettl表示,之前披露的第三个漏洞(CVE-2021-36968)解决了WindowsDNS中的权限提升漏洞。此CVE适用于旧版Windows操作系统。还有两个其他关键漏洞修复:WindowsWLAN自动配置服务远程代码执行漏洞(CVE-2021-36965)和开放式管理基础设施远程代码执行漏洞(CVE-2021-38647)。零日计划的DustinChilds在一份声明中说,前者允许攻击者在附近的网络(例如咖啡店的公共Wi-Fi)中接管易受攻击的目标系统。后者更为严重。这是Linux和Unix风格操作系统的开放管理基础设施(OMI)中的一个严重(CVSS9.8)错误。它可以被利用来获得对网络上易受攻击机器的管理控制,而不需要身份验证或其他检查。Childs警告说:“这个漏洞不需要用户交互或权限,因此攻击者可以简单地向受影响的系统发送特制的消息以在受影响的系统上运行他们的代码。OMI用户应该快速测试和部署这个”。
