编辑：左右里

沿袭惯例，微软如期发布了12月的安全更新。更新补丁涉及Windows Media、Microsoft Office、Microsoft PowerShell、Edge浏览器、Windows内核等。

补丁包括：

26个远程代码执行漏洞

21个特权提升漏洞

10个信息泄露漏洞

7个欺骗漏洞

3个拒绝服务漏洞

总共修复了67个安全漏洞，其中以下几个关键漏洞值得注意：

CVE-2021-43215，CVSS评分9.8，攻击者可以向Internet存储名称服务（iSNS）服务器发送经特殊设计的请求，从而实现远程代码执行（RCE）。

另一个9.8分的漏洞是CVE-2021-43907，这是Visual Studio Code WSL Extension中的一个RCE漏洞，微软表示其可以被未经身份验证的攻击者利用，不需用户交互。

最后一个9.8分漏洞是CVE-2021-43899，与Microsoft 4K显示适配器位于同一网络上的未经身份验证的攻击者可以向易受攻击的设备发送特制数据包，从而在受影响的设备上实现RCE。

此外还有存在于Microsoft Office应用程序中的RCE漏洞CVE-2021-43905（CVSS评分9.6）、在Microsoft Defender for IoT中发现的RCE漏洞CVE-2021-42310等。

微软还修复了一个野外零日漏洞CVE-2021-43890，它是WindowsAppX安装程序中的一个欺骗漏洞。该安装程序用于旁加载Windows 10应用程序，可在App Store 上使用。

Immersive Labs网络威胁研究总监Kevin Breen解释说，该漏洞允许攻击者制作恶意软件包文件，然后将其修改为合法的应用程序。在微软修复之前，该漏洞在与Emotet，TrickBot和Bazaloader恶意软件相关的多次攻击中出现。 

根据零日计划（ZDI）的数据，微软今年已经修补了887个CVE漏洞。虽然这个数字很高，但该团队指出，它还比2020年下降了29%（不包括基于Chromium的Edge）。

资讯来源：微软官网

转载请注明出处和本文链接

推荐文章++++

* 惋惜！腾讯天美F1工作室游戏开发大神毛星云意外身故

* 世界最大劳动力管理平台Kronos遭攻击

* 程序员的福音，微软正在训练AI自动Debug

* 核弹级漏洞——Apache Log4j 2 远程代码执行漏洞事件详情及修复方式

* 2021年报告的漏洞总数揭露，创历史新高

* 全球范围多家知名平台受波及，亚马逊云服务中断

* 商店或关闭或只支持现金，英国北部SPAR遭遇IT中断

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com