Tisztelt Ügyfelünk!
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki Microsoft szoftvereket érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága, és a szoftverek széleskörű elterjedtsége miatt.
A Microsoft 2021. november havi biztonsági csomagjában összesen 56 különböző biztonsági hibát javított, amelyek közül 6 db kritikus kockázati besorolású. Az aktuális javítócsomag 6 db nulladik napi (zero-day) sebezhetőséget is javított (CVE-2021-42292, CVE-2021-42321, CVE-2021-38631, CVE-2021-41371, CVE-2021-43208, CVE-2021-43209).
Leginkább kritikusnak a CVE-2021-42292, valamint a CVE-2021-42321 számú sérülékenységek számítanak, amelyeket a támadók aktívan ki is használnak a sérülékenységben érintett rendszerek kompromittálására. Előbbi biztonsági hiba a Microsoft Excelt érinti, amelynek sikeres kihasználása esetén rosszindulatú kódok telepíthetőek speciálisan szerkesztett Excel fájlok segítségével, utóbbi sérülékenység pedig a Microsoft Exchange egyes verzióiban található, és az érintett rendszerhez már jogosultsággal rendelkező támadók számára adhat módot távoli kódfuttatásra.
Érintett szoftverek: 3D Viewer, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-based), Microsoft Edge (Chromium-based) in IE Mode, Microsoft Exchange Server, Microsoft Office, Microsoft Office Access, Microsoft Office Excel, Microsoft Office SharePoint, Microsoft Office Word, Microsoft Windows, Microsoft Windows Codecs Library, Power BI, Role: Windows Hyper-V, Visual Studio, Visual Studio Code, Windows Active Directory, Windows COM, Windows Core Shell, Windows Cred SSProvider Protocol, Windows Defender, Windows Desktop Bridge, Windows Diagnostic Hub, Windows Fastfat Driver, Windows Feedback Hub, Windows Hello, Windows Installer, Windows Kernel, Windows NTFS, Windows RDP, Windows Scripting, Windows Virtual Machine Bus
Az NBSZ NKI a biztonsági frissítések haladéktalan telepítését javasolja, amelyek elérhetőek az automatikus frissítésen keresztül, valamint manuálisan is letölthetőek a gyártói honlapokról.
Hivatkozások: