微軟最新補(bǔ)丁修復(fù)Excel零日漏洞！Mac用戶仍需等待

　　在本月的補(bǔ)丁星期二期間，微軟修補(bǔ)了一個(gè)被威脅行為者在野外利用的 Excel 零日漏洞。

　　Microsoft 定義的零日漏洞是沒(méi)有官方安全更新的公開披露的錯(cuò)誤。

　　該漏洞被跟蹤為 CVE-2021-42292，是一種高嚴(yán)重性的安全功能繞過(guò)，未經(jīng)身份驗(yàn)證的攻擊者可以在不需要用戶交互的低復(fù)雜度攻擊中在本地利用該漏洞。

　　微軟還修補(bǔ)了上個(gè)月在天府杯黑客大賽期間使用的第二個(gè) Excel 安全漏洞，這是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，跟蹤為CVE-2021-40442，可被未經(jīng)身份驗(yàn)證的攻擊者利用。

　　幸運(yùn)的是，微軟表示 Windows 資源管理器預(yù)覽窗格不是這兩個(gè)漏洞的攻擊媒介。

　　這意味著成功的利用需要完全打開惡意制作的 Excel 文件，而不僅僅是單擊以選擇它們。

　　Mac 用戶要求等待補(bǔ)丁

　　雖然 Redmond 為運(yùn)行 Microsoft 365 Apps for Enterprise 和 Windows 版本的 Microsoft Office 和 Microsoft Excel 的系統(tǒng)發(fā)布了安全更新，但它未能修補(bǔ) macOS 上的漏洞。

　　運(yùn)行 macOS 版本的 Microsoft Office 和 Microsoft 的 Mac 客戶被告知，他們必須等待更長(zhǎng)時(shí)間才能獲得 CVE-2021-42292 補(bǔ)丁。

　　“Microsoft Office 2019 for Mac 和 Microsoft Office LTSC for Mac 2021 的安全更新不會(huì)立即可用，”微軟表示。“更新將盡快發(fā)布，當(dāng)它們可用時(shí)，將通過(guò)對(duì)此 CVE 信息的修訂通知客戶。”

　　這兩個(gè)漏洞是由 Microsoft 威脅情報(bào)中心的安全研究人員發(fā)現(xiàn)的。

　　微軟周二還警告管理員立即修補(bǔ)一個(gè)高嚴(yán)重性的 Exchange Server 漏洞，跟蹤為CVE-2021-42321并影響運(yùn)行 Exchange Server 2016 和 Exchange Server 2019 的本地服務(wù)器。

　　正如昨天的安全公告中所解釋的那樣，成功的利用可能使經(jīng)過(guò)身份驗(yàn)證的攻擊者能夠在易受攻擊的服務(wù)器上遠(yuǎn)程執(zhí)行代碼。