微软 今天发布的修复程序至少可以填补55个漏洞。 视窗 操作系统和其他软件。 这些漏洞中的四个可以被恶意软件和内容利用,以完全远程控制易受攻击的系统,而无需用户的任何帮助。 本月将进行一些更正,以消除蠕虫病毒可行的缺陷,爬行的无线电漏洞以及导致微软死亡的另一个原因。 网络浏览器 (IE)网络浏览器。
尽管May可以带来Microsoft正常更新量的一半,但仍有一些值得注意的弱点值得立即关注,尤其是来自公司的弱点。 从所有方面来看,本月最紧迫的优先事项是 CVE-2021-31166Windows 10和Windows Server中的一个缺陷,该缺陷使未经身份验证的攻击者可以在操作系统级别远程执行恶意代码。 有了此漏洞,攻击者可以通过发送经过特殊准备的数据包来破坏主机。
他说:“即使Microsoft在其著作中称其为错误,此错误也容易受到病毒的侵害。” 达斯汀·柴尔德斯(Dustin Childs), 和 趋势科技的ZDI 一个程序。 “在您将其搁置一旁之前,Windows 10也可以配置为Web服务器,因此也会受到影响。可以肯定地将其放在测试和部署列表的顶部。”
凯文·布雷恩 从 沉浸式实验室 他说,这一事实与理想的10 CVSS分数仅相差0.2点,足以确定校正的重要性。
“对于勒索软件运营商来说,这种漏洞是利用漏洞的主要目标,”布雷恩说。 “蠕虫攻击始终应被放在首位,特别是如果它们是为设计为对公众友好的服务而设计的。由于这种特定的攻击不需要任何形式的身份验证,因此对于攻击者和使用该攻击的任何组织都更具吸引力。 HTTP.sys协议包应优先进行此更正。
布赖恩还呼吁注意 CVE-2021-26419 -漏洞 Internet Explorer 11 -演示IE为什么需要代表“ Internet Explorer”。 要触发此漏洞,用户必须访问攻击者控制的站点,尽管Microsoft也了解可以通过将ActiveX控件嵌入Office文档来触发该站点。
布雷恩说:“我需要死-而且我不是唯一这样认为的人。” “如果您是一个必须提供IE11来支持旧版应用程序的组织,请考虑实施一项用户策略,以限制IE11只能访问那些旧版应用程序的域。所有其他Web浏览都必须使用受支持的浏览器来执行。”
本月修复的另一个奇怪的错误是 CVE-2020-24587,被描述为“ Windows无线网络中信息泄露的安全漏洞”。 ZDI的儿童公司(Childs)表示,这种产品可能非常有害。
他说:“该补丁修复了一个安全漏洞,攻击者可以利用该漏洞检测受影响系统上加密无线数据包的内容。” “目前尚不清楚这种攻击可能会走多远,但是您应该假设需要某种程度的接近。您还将注意到,此CVE是从2020年开始的,这可能表明Microsoft从事此修复工作已有相当长的时间了。 ”
微软还修补了其他四个漏洞 交换服务器 该公司的电子邮件平台,最近是 被零日攻击布尔萨其他四个漏洞的攻击所包围 结果,全世界有数十万台服务器遭到黑客攻击。 由于其中一个错误 橘仔 来自DEVCORE研究小组,该小组负责 检测Exchange Server ProxyLogon漏洞 已更正 超出三月份发布的范围。
“尽管这些缺陷本质上都没有被认为是至关重要的,但提醒我们,研究人员和攻击者仍在密切关注Exchange Server上的其他安全漏洞,因此尚未更新系统的组织应尽快这样做。 ” 萨特南·纳朗(Satnam Narang),人事研究工程师 可以辩护。
与往常一样,Windows用户养成每月至少更新一次的习惯是很好的,但是对于普通用户(阅读:不是企业版),可以安全地等待几天直到发布补丁程序为止,因此Microsoft有时间进行更新。整理出盾牌中的任何纽结。
但是在更新之前 请 确保备份系统和/或重要文件。 Windows更新程序包隐藏或阻止系统正常启动的情况并不少见,并且已知某些更新会删除或破坏文件。
因此,在安装任何修补程序之前,请帮自己一个忙并进行备份。 Windows 10有一些 内建工具 为了帮助您做到这一点,可以基于每个文件/文件夹,也可以一次性制作硬盘的完整可引导副本。
而且,如果您要确保Windows设置为暂停更新,以便可以在操作系统决定按照自己的时间表重新启动和安装补丁之前备份文件和/或系统, 请参阅本指南。
如果本月遇到安装这些补丁程序中的任何漏洞或问题,请考虑在下面对此主题发表评论; 比其他读者尝试过相同的机会更好,在这里可能会提供一些有用的建议。
“极端问题解决者。旅行忍者。典型的网络迷。浏览器。作家。读者。无法治愈的组织者。”
More Stories
Android 15/One UI 7 正在针对 Galaxy A53、A54 等进行测试
《Helldivers 2》的重大更新招致了负面评价,而且玩家数量并未增加一倍
据报道,谷歌 Pixel 9 将获得一些新的 Gemini AI 功能