微軟10月份月度安全漏洞預(yù)警

2021-10-13

一、概要

近日，華為云關(guān)注到微軟發(fā)布2021年10月份安全補(bǔ)丁更新，共披露了74個(gè)安全漏洞，其中3個(gè)漏洞標(biāo)記為嚴(yán)重漏洞。攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、權(quán)限提升、敏感信息泄露等。受影響的應(yīng)用包括：Microsoft Windows、Microsoft Office、Microsoft Exchange、Windows Hyper-V等組件。

微軟官方說明：

https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct

本次用戶需關(guān)注如下細(xì)節(jié)已公開/出現(xiàn)在野攻擊利用的漏洞，及時(shí)升級(jí)補(bǔ)丁避免遭受攻擊：

Win32k權(quán)限提升漏洞（CVE-2021-40449）

Windows AppContainer 防火墻規(guī)則安全功能繞過漏洞（CVE-2021-41338）

Windows DNS 服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-40469）

Windows 內(nèi)核權(quán)限提升漏洞（CVE-2021-41335）

華為云提醒用戶及時(shí)安全自檢并做好安全加固以降低被攻擊的風(fēng)險(xiǎn)。

二、漏洞級(jí)別

漏洞級(jí)別：【嚴(yán)重】

（說明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、影響范圍

Microsoft Windows、Microsoft Office、Microsoft Exchange、Windows Hyper-V等產(chǎn)品。 

四、重要漏洞說明詳情

CVE編號(hào)	漏洞名稱	嚴(yán)重程度	影響產(chǎn)品
CVE-2021-40486	Microsoft Word 遠(yuǎn)程代碼執(zhí)行漏洞	嚴(yán)重	Microsoft Office Online Server、Microsoft Office 2013/2019、Microsoft SharePoint2013/2016/2019、Microsoft Word 2013 RT/2013/2016
CVE-2021-38672 CVE-2021-40461	Windows Hyper-V 遠(yuǎn)程代碼執(zhí)行漏洞	嚴(yán)重	Windows 11、Windows 10、Windows Server 2019/2022、Windows Server, version 20H2/2004

（注：以上為嚴(yán)重漏洞，其他漏洞及詳情請(qǐng)參見微軟官方說明） 

五、安全建議

1、可通過Windows Update自動(dòng)更新微軟補(bǔ)丁修復(fù)漏洞，也可以手動(dòng)下載補(bǔ)丁，補(bǔ)丁下載地址：

https://msrc.microsoft.com/update-guide

2、為確保數(shù)據(jù)安全，建議重要業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。