微软7月修复117个漏洞,其中9个为0day,2个是Pwn2Own 漏洞
编译:奇安信代码卫士
7月14日,微软修复了117个漏洞,包括远程代码执行漏洞、提权漏洞、欺骗漏洞、内存损坏和信息泄露漏洞。其中13个是严重漏洞,9个是0day且其中4个已遭利用。这次修复的还有 Pwn2Own 大赛上黑客发现的一个 Exchange Server RCE 漏洞(CVE-2021-31206)以及存储空间控制器提权漏洞 (CVE-2021-33751)。另外,奇安信代码安全实验室帮助微软发现三个高危漏洞(CVE-2021-34442、CVE-2021-34444和CVE-2021-33745)。
这些漏洞影响的产品包括 Office、SharePoint、Excel、Exchange Server、Windows Defender、Windows 内核和 Windows SMB。
在这9个0day漏洞中,5个已被公开但并未遭利用,它们是:
CVE-2021-34492 - Windows 证书欺骗漏洞
CVE-2021-34523 - Microsoft Exchange Server 提权漏洞
CVE-2021-34473 - Microsoft Exchange Server 远程代码执行漏洞
CVE-2021-33779 - Windows ADFS 安全功能绕过漏洞
CVE-2021-33781 - Active Directory 安全功能绕过漏洞
一个是已遭公开且已利用的 PrintNightmare 漏洞(CVE-2021-34527)。
最后三个0day并未被公开,它们是:
CVE-2021-33771:Windows 内核提权漏洞
CVE-2021-34448:脚本引擎内存损坏漏洞
CVE-2021-31979:Windows 内核提权漏洞
微软:PowerShell 命令行工具存在 RCE 漏洞,请尽快修复
微软公布Netgear 固件严重漏洞详情,可盗取用户身份并攻陷系统
去年微软颁发1360万美元奖励,中国提交的漏洞报告数量位列前三强
https://www.zdnet.com/article/microsoft-july-2021-patch-tuesday-117-vulnerabilities-pwn2own-exchange-server-bug-fixed/
https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/
https://twitter.com/0xf4b/status/1415021044520439814
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。