微软6月Patch Tuesday修补50个安全漏洞，有6个已被开采

微软于本周二（6/8）的Patch Tuesday修补了50个安全漏洞，当中有5个被列为重大（Critical）等级，并有6个已被开采。

这6个已被开采的漏洞分别是CVE-2021-31955、CVE-2021-31956、CVE-2021-33739、CVE-2021-33742、CVE-2021-31199与CVE-2021-31201。其中，CVE-2021-31955属于Windows核心的资讯揭露漏洞，成功开采该漏洞将允许骇客检视核心内存中的内容，仅被列为重要（Important）等级；CVE-2021-31956则是存在于NTFS的权限扩张漏洞，亦被列为重要等级，骇客必须先登入系统，以执行特定程式，或者是诱导使用者开启恶意档案，才能开采该漏洞，成功的开采将允许骇客掌控系统。

至于CVE-2021-33739则为DWM Core Library的权限扩张漏洞，为一本地端的权限扩张攻击，骇客可能借由网钓或恶意邮件以诱导使用者执行恶意程式码，亦属于重要等级。CVE-2021-31199则为Microsoft Enhanced Cryptographic Provider的权限扩张漏洞，与Adobe于今年5月修补的CVE-2021-28550漏洞有关，根据Adobe的说法，骇客已利用该漏洞针对Windows上的Adobe Reader用户展开攻击，CVE-2021-31199也仅被微软列为重要等级。

CVE-2021-33742是藏匿在Windows MSHTML平台的远端程式攻击漏洞。MSHTML是IE 11所使用的排版引擎，又被称为Trident，虽然微软已经宣布IE 11要在明年6月正式退役，但仍会继续使用MSHTML来支援Microsoft Edge的IE模式，也会透过WebBrowser支援其它应用。微软并未公布骇客开采CVE-2021-33742的途径，但把它列为重大等级漏洞。

除了上述的CVE-2021-33742之外，本月微软修补的其它4个重大漏洞还包括CVE-2021-31985、CVE-2021-31963、CVE-2021-31959与CVE-2021-31967，它们皆属于远端程式攻击漏洞，其中，CVE-2021-31985涉及Microsoft Defender，CVE-2021-31963涉及SharePoint Server，CVE-2021-31959为脚本引擎的内存毁损漏洞，CVE-2021-31967则与VP9 Video Extensions有关。

资安团队Zero Day Initiative（ZDI）本月还特别点名了CVE-2021-31962，这是Kerberos AppContainer的安全功能绕过漏洞，允许骇客绕过Kerberos的身份认证，也有可能取得任何服务主体名称（SPN）认证，将允许未经授权的骇客存取可借由SPN存取的任何服务，因而被列为本月应优先修补的微软漏洞之一。