近日,微软官方发布了多个安全漏洞的公告,包括Microsoft Excel代码注入漏洞(CNNVD-202109-820、CVE-2021-38660)、Microsoft Office代码注入(CNNVD-202109-821、CVE-2021-38658)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

2021年9月15日,微软发布了2021年9月份安全更新,共59个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Windows操作系统、Office、Remote DesktopClient、Visual Studio Code、Windows Kernel等。CNNVD对其危害等级进行了评价,其中高危漏洞有31个,中危漏洞27个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

二、漏洞详情

此次更新共包括59个漏洞的补丁程序,其中高危漏洞有31个,中危漏洞27个,低危漏洞1个。

序号

漏洞名称

CNNVD编号

CVE编号

危害等级

官方链接

1

Microsoft Excel 代码注入漏洞

CNNVD-202109-820

CVE-2021-38660

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38660

2

Microsoft Office 代码注入漏洞

CNNVD-202109-821

CVE-2021-38658

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38658

3

多款Microsoft产品权限许可和访问控制问题漏洞

CNNVD-202109-822

CVE-2021-38638

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38638

4

microsoft Windows Common Log File System Driver权限许可和访问控制问题漏洞

CNNVD-202109-829

CVE-2021-38633

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38633

5

microsoft Windows Ancillary Function Driver for WinSock权限许可和访问控制问题漏洞

CNNVD-202109-834

CVE-2021-38628

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38628

6

Microsoft Win32k 权限许可和访问控制问题漏洞

CNNVD-202109-837

CVE-2021-36975

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36975

7

microsoft Windows Redirected Drive Buffering权限许可和访问控制问题漏洞

CNNVD-202109-839

CVE-2021-36973

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36973

8

Microsoft Windows SMB Client权限许可和访问控制问题漏洞

CNNVD-202109-840

CVE-2021-36974

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36974

9

microsoft Azure Open Management Infrastructure 代码注入漏洞

CNNVD-202109-845

CVE-2021-38647

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647

10

Microsoft Windows 10权限许可和访问控制问题漏洞

CNNVD-202109-850

CVE-2021-36967

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36967

11

Microsoft多款产品权限许可和访问控制问题漏洞

CNNVD-202109-855

CVE-2021-36966

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36966

12

Microsoft Windows Codecs代码注入漏洞

CNNVD-202109-856

CVE-2021-38661

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38661

13

多款Microsoft产品代码注入漏洞

CNNVD-202109-857

CVE-2021-36965

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36965

14

多款Microsoft产品权限许可和访问控制问题漏洞

CNNVD-202109-863

CVE-2021-36963

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36963

15

Microsoft Scripting Engine缓冲区错误漏洞

CNNVD-202109-868

CVE-2021-26435

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26435

16

microsoft Windows Event Tracing权限许可和访问控制问题漏洞

CNNVD-202109-870

CVE-2021-36964

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36964

17

Microsoft Visual Studio 代码注入漏洞

CNNVD-202109-877

CVE-2021-36952

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36952

18

Microsoft Windows 权限许可和访问控制问题漏洞

CNNVD-202109-878

CVE-2021-36954

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36954

19

多款Microsoft产品权限许可和访问控制问题漏洞

CNNVD-202109-881

CVE-2021-36955

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36955

20

Microsoft Office 代码注入漏洞

CNNVD-202109-895

CVE-2021-38659

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38659

21

MPEG-2 Video Extension 代码注入漏洞

CNNVD-202109-897

CVE-2021-38644

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38644

22

Microsoft Office 代码注入漏洞

CNNVD-202109-901

CVE-2021-38656

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38656

23

多款Microsoft产品代码注入漏洞

CNNVD-202109-907

CVE-2021-38655

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38655

24

Microsoft Office 安全漏洞

CNNVD-202109-909

CVE-2021-38650

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38650

25

Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞

CNNVD-202109-914

CVE-2021-40447

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40447

26

Microsoft Office 代码注入漏洞

CNNVD-202109-915

CVE-2021-38654

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38654

27

Microsoft Office 代码注入漏洞

CNNVD-202109-920

CVE-2021-38653

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38653

28

Microsoft Office 代码注入漏洞

CNNVD-202109-923

CVE-2021-38646

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38646

29

Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞

CNNVD-202109-946

CVE-2021-38671

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38671

30

Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞

CNNVD-202109-976

CVE-2021-38667

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38667

31

多款Microsoft产品权限许可和访问控制问题漏洞

CNNVD-202109-979

CVE-2021-38639

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38639

32

Microsoft Windows Update Assistant 权限许可和访问控制问题漏洞

CNNVD-202109-823

CVE-2021-38634

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38634

33

microsoft Windows Redirected Drive Buffering信息泄露漏洞

CNNVD-202109-824

CVE-2021-38635

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38635

34

microsoft Windows Redirected Drive Buffering信息泄露漏洞

CNNVD-202109-825

CVE-2021-38636

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38636

35

microsoft Windows Storage Spaces Controller信息泄露漏洞

CNNVD-202109-826

CVE-2021-38637

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38637

36

microsoft Windows BitLocker安全特征问题特征问题漏洞

CNNVD-202109-830

CVE-2021-38632

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38632

37

microsoft Windows Event Tracing权限许可和访问控制问题漏洞

CNNVD-202109-831

CVE-2021-38630

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38630

38

多款Microsoft产品信息泄露漏洞

CNNVD-202109-832

CVE-2021-38629

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38629

39

Microsoft Windows Kernel 权限许可和访问控制问题漏洞

CNNVD-202109-835

CVE-2021-38626

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38626

40

Microsoft Windows Kernel权限许可和访问控制问题漏洞

CNNVD-202109-836

CVE-2021-38625

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38625

41

microsoft Windows Key Storage Provider安全特征问题特征问题漏洞

CNNVD-202109-838

CVE-2021-38624

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38624

42

Microsoft Windows SMB Client 信息泄露漏洞

CNNVD-202109-842

CVE-2021-36972

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36972

43

多款Microsoft产品信息泄露漏洞

CNNVD-202109-843

CVE-2021-36969

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36969

44

microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞

CNNVD-202109-844

CVE-2021-38649

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649

45

microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞

CNNVD-202109-846

CVE-2021-38648

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648

46

Microsoft Windows DNS权限许可和访问控制问题漏洞

CNNVD-202109-847

CVE-2021-36968

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36968

47

microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞

CNNVD-202109-848

CVE-2021-38645

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645

48

Microsoft Office 信息泄露漏洞

CNNVD-202109-849

CVE-2021-38657

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38657

49

Microsoft Dynamics 365和Microsoft Dynamics 跨站脚本漏洞

CNNVD-202109-851

CVE-2021-40440

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40440

50

microsoft Azure Sphere 安全漏洞

CNNVD-202109-852

CVE-2021-36956

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36956

51

microsoft Microsoft Accessibility Insights for Android 信息泄露漏洞

CNNVD-202109-853

CVE-2021-40448

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40448

52

Microsoft Windows Installer信息泄露漏洞

CNNVD-202109-860

CVE-2021-36962

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36962

53

Microsoft Windows Installer输入验证错误漏洞

CNNVD-202109-862

CVE-2021-36961

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36961

54

Microsoft Windows SMB Client信息泄露漏洞

CNNVD-202109-866

CVE-2021-36960

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36960

55

microsoft Windows Authenticode 安全漏洞

CNNVD-202109-880

CVE-2021-36959

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36959

56

Microsoft Office和Microsoft SharePoint 安全漏洞

CNNVD-202109-896

CVE-2021-38651

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38651

57

Microsoft Visual Studio 权限许可和访问控制问题漏洞

CNNVD-202109-911

CVE-2021-26434

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26434

58

Microsoft Visual Studio Code 安全漏洞

CNNVD-202109-933

CVE-2021-26437

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26437

59

Microsoft Office和Microsoft SharePoint 安全漏洞

CNNVD-202109-894

CVE-2021-38652

低危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38652

三、修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

https://msrc.microsoft.com/update-guide/en-us

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn

声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。