微软在上个月更新了44个漏洞安全补丁,在本月则针对 66 个漏洞进行发布安全补丁,3个被评为紧急,62 个被评为重要,一个被评为中等严重性。除了该公司自本月初以来解决的基于 Chromium 的 Microsoft Edge 浏览器中的20 个漏洞之外。
本次比较重要的更新涉及CVE-2021-40444(CVSS 评分:8.8)的补丁,是 MSHTML 中一个积极利用的远程代码执行漏洞,利用带有恶意软件的 Microsoft Office 文档。
Windows DNS 公开披露但未被积极利用的零日漏洞。CVE-2021-36968的特权提升漏洞的严重性等级为 7.8。
微软解决的其他值得注意的缺陷涉及开放管理基础设施 ( CVE-2021-38647 )、Windows WLAN 自动配置服务 ( CVE-2021-36965 )、Office ( CVE-2021-38659 )、Visual Studio 中的许多远程代码执行错误( CVE-2021-36952 ) 和 Word ( CVE-2021-38656 ) 以及 Windows 脚本引擎中的内存损坏缺陷 ( CVE-2021-26435 )
更重要的是,已经修复了其 Print Spooler 服务中新发现的三个提权漏洞(CVE-2021-38667、CVE-2021-38671和CVE-2021-40447),而CVE-2021-369021和CVE- 2021-369021 -38639(CVSS 分数:7.8),Print Spooler 安全漏洞是被美国CISA作为网络安全指令的紧急指示ED 21-04 - 缓解 Windows Print Spooler 服务漏洞发布的。
另外Adobe、苹果、Google等巨头,同期也进行了漏洞更新。
2021 年 9 月的 Adobe 补丁
Adobe旗下的图形软件,是我们日常最常用的产品之一,特别是我们日常用的PDF编辑器和阅读器,市场占有率是非常高的,同时也带来安全隐患覆盖面积非常大。Adobe 发布了 15 个补丁,涵盖 Adobe Acrobat Reader、XMP Toolkit SDK、Photoshop、Experience Manager、Genuine Service、Digital Editions、Premiere Elements、Photoshop Elements、Creative Cloud Desktop、ColdFusion、Framemaker、InDesign、SVG-Native 中的 59 个 CVE。
Adobe Acrobat的更新总共修复了 26 个漏洞。在这 26 个漏洞中,13 个被评为紧急,9 个被评为重要,4 个被评为中等严重性。最严重的可能允许通过类型混淆、基于堆的缓冲区溢出或释放后使用漏洞来远程执行代码。Photoshop补丁修复的单个错误也可能导致打开特制文件时执行代码。
用户如果需要更新补丁,可在Adobe的PSIRT 页面上查看 所有补丁。Adobe 本月修复的漏洞在发布时均未列为公开已知或受到主动攻击。
2021 年 9 月的 Apple 补丁
苹果公司基本上是不遵循周二补丁日的,但他们也在本月的周二补丁日发布了若干补丁,修复了若干重大漏洞。CVE-2021-30860 修复 CoreGraphics 中可能允许远程代码执行的输入验证错误。Apple 指出,他们知道有报告称此漏洞正在被积极利用。这是由公民实验室和公共账户报告的表明此漏洞被用于针对沙特激进分子的 iPhone。虽然使用此漏洞进行广泛攻击的可能性很低,但仍应认真对待。Apple 还指出 CVE-2021-30858—Webkit 中的一个 Use-After-Free (UAF) 漏洞,也已在野外被检测到。这些漏洞影响了几种不同的 Apple 产品,包括 iOS、iPad OS、watchOS、Safari、Catalina 和 Big Sur。苹果用户一定要花一些时间来查看所有补丁并在测试后应用适用的更新。
2021 年 9 月的 Google Chrome 补丁
谷歌方面,周二还发布新版本的Chrome,以解决总共 9 个 CVE漏洞,其中两个被列为主动攻击。CVE-2021-30632 修复越界 (OOB) 写入,而 CVE-2021-30633 修复 UAF 错误。此版本中修复的所有漏洞都获得了 Google 的“高”严重性评级。正在运行 Chrome的用户,有必要更新以确保使用的是最新的稳定版本。
另外,西门子方面则针对其产品的46个漏洞发布了补丁,施耐德方面针对发布了7个漏洞补丁等。