微软呼吁用户修补3个Windows TCP/IP实作漏洞，影响所有版本

微软昨（9）日发出安全公告，呼吁用户尽速安装影响所有Windows版本的3个Windows TCP/IP漏洞的安全更新。

这三个漏洞影响Windows TCP/IP实作，包含2个重大风险远端程式码执行（Critical Remote Code Execution，RCE）漏洞，CVSS 3.0版风险等级9.8：CVE-2021-24074和 CVE-2021-24094，以及1个重要风险的阻断服务（Denial of Service，DoS）漏洞CVE-2021-24086，CVSS 3.0版风险等级7.5。

受影响的系统涵括Windows 7以上的所有用户端及服务器版本。而非微软实作则不受影响。

微软指出，三个漏洞皆为内部团队发现，并未公开，目前为止也未发现有遭到开采的迹象。其中二个RCE漏洞较为复杂，要发动开采也较困难，短时间内不会发生。但微软相信攻击者可以更快制作出DoS漏洞开采程式，而一旦开采程式发布，三个漏洞都可能会被开采。

微软建议用户及管理员尽速安装安全更新，但针对无法及时上更新的用户，微软也提供缓解作法。三个漏洞各不相同，需要针对不同系统风险提供不同缓解作法，不过大致可分成IPv4及IPv6两种方案。

针对CVE-2021-24074，微软建议关闭来源路由（Source Routing）来防御，Windows预设就已是关闭。这可由群组政策或跑NETSH指令完成。但微软也警告，这项设定会导致系统完全拒绝处理呼叫。针对 CVE-2021-24094及CVE-2021-24086，微软建议关闭封包重组（packet reassembly）以封锁IPv6封包碎片，但这也可能影响仰赖IPv6的服务。

对于边缘装置，像是负载平衡或防火墙，微软指出缓解作法可封锁来源路由呼叫及IPv6封包碎片，在系统上修补程式前防御曝露于高风险中。