昨天微软迎来2021年度第四个“补丁星期二”，本次更新微软一共修复了108个漏洞，19个标记为“关键漏洞”，89个标记为“重要漏洞”，不包含本月初发布的6个 Chromium Edge 漏洞。覆盖Windows操作系统、Exchange Server、Azure、Office等多个产品。

值得注意的是本次更新中，微软修复了5个0Day漏洞。根据微软官方的描述，其中一个漏洞CVE-2021-28310很可能已经被积极利用。

该漏洞为Win32k特权提升漏洞，由卡巴斯基研究员在野外发现。成功利用该漏洞后，攻击者能够在目标设备上提升权限，做到逃逸沙盒，或者是进一步访问系统，最终控制整个设备。

研究员表示，这个漏洞很可能已经被黑客组织BITTER APT所使用。且攻击者很有可能将它和其他0day漏洞或者是已经打过补丁的漏洞一起使用。

但近日该研究员在博客中称由于无法捕捉到完整的链，所以还无法确认这种一起使用的情况是否存在。

此外，NSA 在Microsoft Exchange中发现的4个远程执行漏洞，这次也得到修复。其中CVE-2021-28480和CVE-2021-28481这两个漏洞，如果被成功利用，攻击者能够在未经过身份验证的情况下远程读写文件和执行命令，危害程度或高于微软在3月修复的Exchange漏洞。

关于本月发布的安全更新完整报告可以到此网站查看：

https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/April-2021.html

大家记得及时打补丁，更新到最新版本哦！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com