近日,微软官方发布了多个安全漏洞的公告,包括多款Microsoft Defender 安全漏洞(CNNVD-202101-803、CVE-2021-1647)、Microsoft SharePoint 安全漏洞(CNNVD-202101-804、CVE-2021-1707)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
2021年1月13日,微软发布了2021年1月份安全更新,共83个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Windows操作系统、Edge浏览器、Office办公套件、Windows 编解码器库、Visual Studio、SQL Server、反病毒引擎、.NET、等多个Windows平台下应用软件和组件。其中包括10个严重漏洞,73个高危漏洞。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询,其中部分重要漏洞详情如下:
1、Microsoft Defender 安全漏洞(CNNVD-202101-803、CVE-2021-1647)
漏洞简介:Microsoft Defender是Windows的一款防病毒软件。Microsoft Defender存在一个远程代码执行漏洞。攻击者可以通过构造恶意PE文件,诱使Microsoft Defender扫描该恶意文件来执行任意代码。攻击者可以通过恶意网页,电子邮件或USB驱动器远程破坏易受攻击的系统。
2、MicrosoftSharePoint 安全漏洞(CNNVD-202101-804、CVE-2021-1707)
漏洞简介:Microsoft SharePoint存在一个远程代码执行漏洞,该漏洞源于SharePoint服务器未对用户输入进行有效的校验,导致攻击者可以通过对特定的api发送精心构造的数据实现远程命令执行, 从而控制服务器。
二、漏洞详情
此次更新共包括83个漏洞的补丁程序,其中10个超危漏洞,73个高危漏洞。
序号 | cnnvd漏洞名称 | cnnvd编号 | 危害等级 | 中文链接 |
1 | DOMPurify 跨站脚本漏洞 | CNNVD-202010-199 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-26870 |
2 | Microsoft Excel 安全漏洞 | CNNVD-202101-792 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1713 |
3 | Microsoft Office 安全漏洞 | CNNVD-202101-793 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1711 |
4 | Microsoft SharePoint 安全漏洞 | CNNVD-202101-794 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1718 |
5 | Microsoft SQL Server 安全漏洞 | CNNVD-202101-796 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1636 |
6 | Microsoft Word 安全漏洞 | CNNVD-202101-797 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1716 |
7 | Microsoft SharePoint 安全漏洞 | CNNVD-202101-798 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1717 |
8 | Microsoft SharePoint 安全漏洞 | CNNVD-202101-799 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1719 |
9 | Microsoft Excel 安全漏洞 | CNNVD-202101-800 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1714 |
10 | Microsoft SharePoint 安全漏洞 | CNNVD-202101-801 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1641 |
11 | Microsoft Word 安全漏洞 | CNNVD-202101-802 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1715 |
12 | Microsoft SharePoint 安全漏洞 | CNNVD-202101-804 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1707 |
13 | Microsoft SharePoint 安全漏洞 | CNNVD-202101-805 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1712 |
14 | Microsoft Windows Media Foundation 安全漏洞 | CNNVD-202101-806 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1710 |
15 | Microsoft Win32k 访问控制错误漏洞 | CNNVD-202101-807 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1709 |
16 | Microsoft Windows GDI+ 信息泄露漏洞 | CNNVD-202101-808 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1708 |
17 | Microsoft ASP.NET Core和Visual Studio 安全漏洞 | CNNVD-202101-809 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1723 |
18 | Microsoft Windows LUAFV 安全漏洞 | CNNVD-202101-810 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1706 |
19 | Microsoft Windows 安全漏洞 | CNNVD-202101-811 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1703 |
20 | Microsoft Windows 安全漏洞 | CNNVD-202101-812 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1702 |
21 | Microsoft Windows 安全漏洞 | CNNVD-202101-814 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1701 |
22 | Microsoft Windows Hyper-V 安全漏洞 | CNNVD-202101-815 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1704 |
23 | Microsoft Windows modem.sys 信息泄露漏洞 | CNNVD-202101-816 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1699 |
24 | Microsoft Windows InstallService 安全漏洞 | CNNVD-202101-817 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1697 |
25 | Microsoft Windows 远程过程组件安全漏洞 | CNNVD-202101-818 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1700 |
26 | Microsoft Windows 图形组件信息泄露漏洞 | CNNVD-202101-819 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1696 |
27 | Microsoft Windows Update Stack 安全漏洞 | CNNVD-202101-820 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1694 |
28 | Microsoft Windows 打印后台处理程序访问控制错误漏洞 | CNNVD-202101-824 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1695 |
29 | Microsoft Windows CSC 安全漏洞 | CNNVD-202101-827 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1693 |
30 | Microsoft Windows Hyper-V 安全漏洞 | CNNVD-202101-831 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1691 |
31 | Microsoft Windows Hyper-V 安全漏洞 | CNNVD-202101-832 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1692 |
32 | Microsoft Windows WalletService 安全漏洞 | CNNVD-202101-836 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1690 |
33 | Microsoft Windows Multipoint 安全漏洞 | CNNVD-202101-842 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1689 |
34 | Microsoft Walletservice 访问控制错误漏洞 | CNNVD-202101-846 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1687 |
35 | Microsoft Windows WalletService 安全漏洞 | CNNVD-202101-853 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1686 |
36 | Microsoft Windows AppX 安全漏洞 | CNNVD-202101-855 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1685 |
37 | Microsoft Windows Bluetooth 安全漏洞 | CNNVD-202101-857 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1684 |
38 | Microsoft Windows Bluetooth 访问控制错误漏洞 | CNNVD-202101-858 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1683 |
39 | Microsoft Bot Framework 信息泄露漏洞 | CNNVD-202101-860 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1725 |
40 | Microsoft Windows 内核安全漏洞 | CNNVD-202101-861 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1682 |
41 | Microsoft Walletservice 访问控制错误漏洞 | CNNVD-202101-862 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1681 |
42 | Microsoft NTLM 安全漏洞 | CNNVD-202101-863 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1678 |
43 | Microsoft Azure Active Directory Pod 安全漏洞 | CNNVD-202101-864 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1677 |
44 | Microsoft Windows 诊断中心访问控制错误漏洞 | CNNVD-202101-865 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1680 |
45 | Microsoft Windows CryptoAPI 安全漏洞 | CNNVD-202101-866 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1679 |
46 | Microsoft Windows NT Lan Manager 信息泄露漏洞 | CNNVD-202101-867 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1676 |
47 | Microsoft Windows 远程桌面模块访问控制错误漏洞 | CNNVD-202101-868 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1674 |
48 | Microsoft Windows CSC 安全漏洞 | CNNVD-202101-869 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1688 |
49 | Microsoft Windows 安全漏洞 | CNNVD-202101-870 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1671 |
50 | Microsoft Windows FS Filter 驱动程序信息泄露漏洞 | CNNVD-202101-872 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1670 |
51 | Microsoft Windows FS Filter 驱动程序信息泄露漏洞 | CNNVD-202101-874 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1672 |
52 | Microsoft Windows 远程桌面安全漏洞 | CNNVD-202101-878 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1669 |
53 | Microsoft Windows Installer 安全漏洞 | CNNVD-202101-880 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1661 |
54 | Microsoft Windows CSC 安全漏洞 | CNNVD-202101-881 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1659 |
55 | Microsoft Windows TPM 设备驱动程序信息泄露漏洞 | CNNVD-202101-884 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1656 |
56 | Microsoft Windows CSC 安全漏洞 | CNNVD-202101-885 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1653 |
57 | Microsoft Windows CSC 安全漏洞 | CNNVD-202101-886 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1654 |
58 | Microsoft Windows CSC 安全漏洞 | CNNVD-202101-887 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1652 |
59 | Microsoft Windows 传真撰写窗体安全漏洞 | CNNVD-202101-888 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1657 |
60 | Microsoft Windows CSC 安全漏洞 | CNNVD-202101-889 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1655 |
61 | Microsoft Windows Active 授权问题漏洞 | CNNVD-202101-890 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1649 |
62 | Microsoft Windows Bluetooth 安全漏洞 | CNNVD-202101-891 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1638 |
63 | Microsoft Windows splwow64 授权问题漏洞 | CNNVD-202101-892 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1648 |
64 | Microsoft Windows 诊断中心标准收集器安全漏洞 | CNNVD-202101-893 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1651 |
65 | Microsoft Windows 安全漏洞 | CNNVD-202101-894 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1650 |
66 | Microsoft Windows DNS 信息泄露漏洞 | CNNVD-202101-897 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1637 |
67 | Microsoft Windows FS Filter 驱动程序信息泄露漏洞 | CNNVD-202101-901 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1663 |
68 | Microsoft Windows 远程过程调用安全漏洞 | CNNVD-202101-903 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1664 |
69 | Microsoft Windows 安全漏洞 | CNNVD-202101-904 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1662 |
70 | Microsoft HEVC Video Extensions 安全漏洞 | CNNVD-202101-905 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1644 |
71 | Microsoft Windows WLAN 授权问题漏洞 | CNNVD-202101-913 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1646 |
72 | Microsoft Windows AppX 权限许可和访问控制问题漏洞 | CNNVD-202101-919 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1642 |
73 | Microsoft Windows 信息泄露漏洞 | CNNVD-202101-922 | 高危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1645 |
74 | Microsoft Edge 安全漏洞 | CNNVD-202101-795 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1705 |
75 | Microsoft Defender 安全漏洞 | CNNVD-202101-803 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1647 |
76 | Microsoft Windows 安全漏洞 | CNNVD-202101-871 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1673 |
77 | Microsoft Windows DTV-DVD 视频解码器安全漏洞 | CNNVD-202101-875 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1668 |
78 | Microsoft Windows 安全漏洞 | CNNVD-202101-876 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1666 |
79 | Microsoft Windows 安全漏洞 | CNNVD-202101-879 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1667 |
80 | Microsoft Windows 安全漏洞 | CNNVD-202101-882 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1658 |
81 | Microsoft Windows 安全漏洞 | CNNVD-202101-883 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1660 |
82 | Microsoft HEVC Video Extensions 安全漏洞 | CNNVD-202101-906 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1643 |
83 | Microsoft Windows GDI+ 安全漏洞 | CNNVD-202101-912 | 超危 | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2021-1665 |
三、修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
