近日,微软官方发布了多个安全漏洞的公告,包括Microsoft Excel代码注入漏洞(CNNVD-202109-820、CVE-2021-38660)、Microsoft Office代码注入(CNNVD-202109-821、CVE-2021-38658)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
2021年9月15日,微软发布了2021年9月份安全更新,共59个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Windows操作系统、Office、Remote DesktopClient、Visual Studio Code、Windows Kernel等。CNNVD对其危害等级进行了评价,其中高危漏洞有31个,中危漏洞27个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。
二、漏洞详情
此次更新共包括59个漏洞的补丁程序,其中高危漏洞有31个,中危漏洞27个,低危漏洞1个。
序号 | 漏洞名称 | CNNVD编号 | CVE编号 | 危害等级 | 官方链接 |
1 | Microsoft Excel 代码注入漏洞 | CNNVD-202109-820 | CVE-2021-38660 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38660 |
2 | Microsoft Office 代码注入漏洞 | CNNVD-202109-821 | CVE-2021-38658 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38658 |
3 | 多款Microsoft产品权限许可和访问控制问题漏洞 | CNNVD-202109-822 | CVE-2021-38638 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38638 |
4 | microsoft Windows Common Log File System Driver权限许可和访问控制问题漏洞 | CNNVD-202109-829 | CVE-2021-38633 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38633 |
5 | microsoft Windows Ancillary Function Driver for WinSock权限许可和访问控制问题漏洞 | CNNVD-202109-834 | CVE-2021-38628 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38628 |
6 | Microsoft Win32k 权限许可和访问控制问题漏洞 | CNNVD-202109-837 | CVE-2021-36975 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36975 |
7 | microsoft Windows Redirected Drive Buffering权限许可和访问控制问题漏洞 | CNNVD-202109-839 | CVE-2021-36973 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36973 |
8 | Microsoft Windows SMB Client权限许可和访问控制问题漏洞 | CNNVD-202109-840 | CVE-2021-36974 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36974 |
9 | microsoft Azure Open Management Infrastructure 代码注入漏洞 | CNNVD-202109-845 | CVE-2021-38647 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647 |
10 | Microsoft Windows 10权限许可和访问控制问题漏洞 | CNNVD-202109-850 | CVE-2021-36967 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36967 |
11 | Microsoft多款产品权限许可和访问控制问题漏洞 | CNNVD-202109-855 | CVE-2021-36966 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36966 |
12 | Microsoft Windows Codecs代码注入漏洞 | CNNVD-202109-856 | CVE-2021-38661 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38661 |
13 | 多款Microsoft产品代码注入漏洞 | CNNVD-202109-857 | CVE-2021-36965 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36965 |
14 | 多款Microsoft产品权限许可和访问控制问题漏洞 | CNNVD-202109-863 | CVE-2021-36963 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36963 |
15 | Microsoft Scripting Engine缓冲区错误漏洞 | CNNVD-202109-868 | CVE-2021-26435 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26435 |
16 | microsoft Windows Event Tracing权限许可和访问控制问题漏洞 | CNNVD-202109-870 | CVE-2021-36964 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36964 |
17 | Microsoft Visual Studio 代码注入漏洞 | CNNVD-202109-877 | CVE-2021-36952 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36952 |
18 | Microsoft Windows 权限许可和访问控制问题漏洞 | CNNVD-202109-878 | CVE-2021-36954 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36954 |
19 | 多款Microsoft产品权限许可和访问控制问题漏洞 | CNNVD-202109-881 | CVE-2021-36955 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36955 |
20 | Microsoft Office 代码注入漏洞 | CNNVD-202109-895 | CVE-2021-38659 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38659 |
21 | MPEG-2 Video Extension 代码注入漏洞 | CNNVD-202109-897 | CVE-2021-38644 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38644 |
22 | Microsoft Office 代码注入漏洞 | CNNVD-202109-901 | CVE-2021-38656 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38656 |
23 | 多款Microsoft产品代码注入漏洞 | CNNVD-202109-907 | CVE-2021-38655 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38655 |
24 | Microsoft Office 安全漏洞 | CNNVD-202109-909 | CVE-2021-38650 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38650 |
25 | Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞 | CNNVD-202109-914 | CVE-2021-40447 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40447 |
26 | Microsoft Office 代码注入漏洞 | CNNVD-202109-915 | CVE-2021-38654 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38654 |
27 | Microsoft Office 代码注入漏洞 | CNNVD-202109-920 | CVE-2021-38653 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38653 |
28 | Microsoft Office 代码注入漏洞 | CNNVD-202109-923 | CVE-2021-38646 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38646 |
29 | Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞 | CNNVD-202109-946 | CVE-2021-38671 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38671 |
30 | Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞 | CNNVD-202109-976 | CVE-2021-38667 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38667 |
31 | 多款Microsoft产品权限许可和访问控制问题漏洞 | CNNVD-202109-979 | CVE-2021-38639 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38639 |
32 | Microsoft Windows Update Assistant 权限许可和访问控制问题漏洞 | CNNVD-202109-823 | CVE-2021-38634 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38634 |
33 | microsoft Windows Redirected Drive Buffering信息泄露漏洞 | CNNVD-202109-824 | CVE-2021-38635 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38635 |
34 | microsoft Windows Redirected Drive Buffering信息泄露漏洞 | CNNVD-202109-825 | CVE-2021-38636 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38636 |
35 | microsoft Windows Storage Spaces Controller信息泄露漏洞 | CNNVD-202109-826 | CVE-2021-38637 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38637 |
36 | microsoft Windows BitLocker安全特征问题特征问题漏洞 | CNNVD-202109-830 | CVE-2021-38632 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38632 |
37 | microsoft Windows Event Tracing权限许可和访问控制问题漏洞 | CNNVD-202109-831 | CVE-2021-38630 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38630 |
38 | 多款Microsoft产品信息泄露漏洞 | CNNVD-202109-832 | CVE-2021-38629 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38629 |
39 | Microsoft Windows Kernel 权限许可和访问控制问题漏洞 | CNNVD-202109-835 | CVE-2021-38626 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38626 |
40 | Microsoft Windows Kernel权限许可和访问控制问题漏洞 | CNNVD-202109-836 | CVE-2021-38625 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38625 |
41 | microsoft Windows Key Storage Provider安全特征问题特征问题漏洞 | CNNVD-202109-838 | CVE-2021-38624 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38624 |
42 | Microsoft Windows SMB Client 信息泄露漏洞 | CNNVD-202109-842 | CVE-2021-36972 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36972 |
43 | 多款Microsoft产品信息泄露漏洞 | CNNVD-202109-843 | CVE-2021-36969 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36969 |
44 | microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞 | CNNVD-202109-844 | CVE-2021-38649 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649 |
45 | microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞 | CNNVD-202109-846 | CVE-2021-38648 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648 |
46 | Microsoft Windows DNS权限许可和访问控制问题漏洞 | CNNVD-202109-847 | CVE-2021-36968 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36968 |
47 | microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞 | CNNVD-202109-848 | CVE-2021-38645 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645 |
48 | Microsoft Office 信息泄露漏洞 | CNNVD-202109-849 | CVE-2021-38657 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38657 |
49 | Microsoft Dynamics 365和Microsoft Dynamics 跨站脚本漏洞 | CNNVD-202109-851 | CVE-2021-40440 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40440 |
50 | microsoft Azure Sphere 安全漏洞 | CNNVD-202109-852 | CVE-2021-36956 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36956 |
51 | microsoft Microsoft Accessibility Insights for Android 信息泄露漏洞 | CNNVD-202109-853 | CVE-2021-40448 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40448 |
52 | Microsoft Windows Installer信息泄露漏洞 | CNNVD-202109-860 | CVE-2021-36962 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36962 |
53 | Microsoft Windows Installer输入验证错误漏洞 | CNNVD-202109-862 | CVE-2021-36961 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36961 |
54 | Microsoft Windows SMB Client信息泄露漏洞 | CNNVD-202109-866 | CVE-2021-36960 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36960 |
55 | microsoft Windows Authenticode 安全漏洞 | CNNVD-202109-880 | CVE-2021-36959 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36959 |
56 | Microsoft Office和Microsoft SharePoint 安全漏洞 | CNNVD-202109-896 | CVE-2021-38651 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38651 |
57 | Microsoft Visual Studio 权限许可和访问控制问题漏洞 | CNNVD-202109-911 | CVE-2021-26434 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26434 |
58 | Microsoft Visual Studio Code 安全漏洞 | CNNVD-202109-933 | CVE-2021-26437 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26437 |
59 | Microsoft Office和Microsoft SharePoint 安全漏洞 | CNNVD-202109-894 | CVE-2021-38652 | 低危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38652 |
三、修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn
声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
