APP下载

微软6月Patch Tuesday修补50个安全漏洞,有6个已被开采

消息来源:baojiabao.com 作者: 发布时间:2026-02-17

报价宝综合消息微软6月Patch Tuesday修补50个安全漏洞,有6个已被开采

CVE-2021-33742是藏匿在Windows MSHTML平台的远端程式攻击漏洞。MSHTML是IE 11所使用的排版引擎,又被称为Trident,虽然微软已经宣布IE 11要在明年6月正式退役,但仍会继续使用MSHTML来支援Microsoft Edge的IE模式,也会透过WebBrowser支援其它应用。微软并未公布骇客开采CVE-2021-33742的途径,但把它列为重大等级漏洞。

微软于本周二(6/8)的Patch Tuesday修补了50个安全漏洞,当中有5个被列为重大(Critical)等级,并有6个已被开采。

这6个已被开采的漏洞分别是CVE-2021-31955、CVE-2021-31956、CVE-2021-33739、CVE-2021-33742、CVE-2021-31199与CVE-2021-31201。其中,CVE-2021-31955属于Windows核心的资讯揭露漏洞,成功开采该漏洞将允许骇客检视核心内存中的内容,仅被列为重要(Important)等级;CVE-2021-31956则是存在于NTFS的权限扩张漏洞,亦被列为重要等级,骇客必须先登入系统,以执行特定程式,或者是诱导使用者开启恶意档案,才能开采该漏洞,成功的开采将允许骇客掌控系统。

至于CVE-2021-33739则为DWM Core Library的权限扩张漏洞,为一本地端的权限扩张攻击,骇客可能借由网钓或恶意邮件以诱导使用者执行恶意程式码,亦属于重要等级。CVE-2021-31199则为Microsoft Enhanced Cryptographic Provider的权限扩张漏洞,与Adobe于今年5月修补的CVE-2021-28550漏洞有关,根据Adobe的说法,骇客已利用该漏洞针对Windows上的Adobe Reader用户展开攻击,CVE-2021-31199也仅被微软列为重要等级。

CVE-2021-33742是藏匿在Windows MSHTML平台的远端程式攻击漏洞。MSHTML是IE 11所使用的排版引擎,又被称为Trident,虽然微软已经宣布IE 11要在明年6月正式退役,但仍会继续使用MSHTML来支援Microsoft Edge的IE模式,也会透过WebBrowser支援其它应用。微软并未公布骇客开采CVE-2021-33742的途径,但把它列为重大等级漏洞。

除了上述的CVE-2021-33742之外,本月微软修补的其它4个重大漏洞还包括CVE-2021-31985、CVE-2021-31963、CVE-2021-31959与CVE-2021-31967,它们皆属于远端程式攻击漏洞,其中,CVE-2021-31985涉及Microsoft Defender,CVE-2021-31963涉及SharePoint Server,CVE-2021-31959为脚本引擎的内存毁损漏洞,CVE-2021-31967则与VP9 Video Extensions有关。

资安团队Zero Day Initiative(ZDI)本月还特别点名了CVE-2021-31962,这是Kerberos AppContainer的安全功能绕过漏洞,允许骇客绕过Kerberos的身份认证,也有可能取得任何服务主体名称(SPN)认证,将允许未经授权的骇客存取可借由SPN存取的任何服务,因而被列为本月应优先修补的微软漏洞之一。

2021-06-09 17:07:00

相关文章