Win10 4月補丁修復108處漏洞，包括19個關鍵漏洞

　　微軟在本月補丁星期二活動發(fā)布的Windows 10累積補丁更新，主要是對系統(tǒng)安全性進行優(yōu)化。不過對于Windows和Microsoft Exchange管理員來說，最近幾個月一直非常忙碌，4月累積更新修復了5個零日漏洞和更多的Exchange漏洞。

　　在今天的更新中，微軟共計修復了108處漏洞，其中19個標記為“關鍵漏洞”（Critial），89 個標記為“重要漏洞”（Important）。而且這些漏洞并不包含本月初發(fā)布的6個Chromium Edge漏洞。

　　此外，今天微軟還修復了 5 個公開披露的零日漏洞，其中1個已知用于網絡攻擊。更糟糕的是，微軟修復了 NSA 發(fā)現的 4 個關鍵的Microsoft Exchange漏洞。作為今天補丁星期二的一部分，微軟已經修復了4個公開披露的漏洞和一個主動利用的漏洞。

　　以下 4個漏洞微軟表示已經公開暴露，但沒有證據表明被黑客利用。

　　CVE-2021-27091 - RPC端點映射器服務權限提升的漏洞

　　CVE-2021-28312 - Windows NTFS拒絕服務漏洞

　　CVE-2021-28437 - Windows安裝程序信息泄露漏洞- PolarBear

　　CVE-2021-28458 - Azure ms-rest-nodeauth庫的權限提升漏洞

　　卡巴斯基研究人員 Boris Larin發(fā)現的以下漏洞已經被黑客組織BITTER APT利用。

　　CVE-2021-28310 - Win32k 提升權限漏洞

　　卡巴斯基在博文中解釋道：“不幸的是，我們無法捕捉到一個完整的鏈條，所以我們不知道該漏洞是否與另一個瀏覽器零日配合使用，或者與已知的、打過補丁的漏洞結合在一起使用”。

　　微軟 Exchange 的管理員們并沒有得到任何休息，因為今天又有4個NSA發(fā)現的關鍵遠程代碼執(zhí)行漏洞在微軟Exchange中得到了修復。其中兩個漏洞是預認證，這意味著它們不需要攻擊者先登錄服務器。

　　CVE-2021-28480--微軟Exchange服務器遠程代碼執(zhí)行漏洞

　　CVE-2021-28481 - 微軟Exchange服務器遠程代碼執(zhí)行漏洞

　　CVE-2021-28482 - 微軟Exchange服務器遠程代碼執(zhí)行漏洞

　　CVE-2021-28483 - 微軟Exchange服務器遠程代碼執(zhí)行漏洞

　　完整報告如下