近日,微软官方发布了多个安全漏洞的公告,包括Microsoft Excel代码注入漏洞(CNNVD-202109-820、CVE-2021-38660)、Microsoft Office代码注入(CNNVD-202109-821、CVE-2021-38658)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
2021年9月15日,微软发布了2021年9月份安全更新,共59个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Windows操作系统、Office、Remote DesktopClient、Visual Studio Code、Windows Kernel等。CNNVD对其危害等级进行了评价,其中高危漏洞有31个,中危漏洞27个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。
二、漏洞详情
此次更新共包括59个漏洞的补丁程序,其中高危漏洞有31个,中危漏洞27个,低危漏洞1个。
序号
漏洞名称
CNNVD编号
CVE编号
危害等级
官方链接
1
Microsoft Excel 代码注入漏洞
CNNVD-202109-820
CVE-2021-38660
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38660
2
Microsoft Office 代码注入漏洞
CNNVD-202109-821
CVE-2021-38658
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38658
3
多款Microsoft产品权限许可和访问控制问题漏洞
CNNVD-202109-822
CVE-2021-38638
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38638
4
microsoft Windows Common Log File System Driver权限许可和访问控制问题漏洞
CNNVD-202109-829
CVE-2021-38633
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38633
5
microsoft Windows Ancillary Function Driver for WinSock权限许可和访问控制问题漏洞
CNNVD-202109-834
CVE-2021-38628
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38628
6
Microsoft Win32k 权限许可和访问控制问题漏洞
CNNVD-202109-837
CVE-2021-36975
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36975
7
microsoft Windows Redirected Drive Buffering权限许可和访问控制问题漏洞
CNNVD-202109-839
CVE-2021-36973
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36973
8
Microsoft Windows SMB Client权限许可和访问控制问题漏洞
CNNVD-202109-840
CVE-2021-36974
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36974
9
microsoft Azure Open Management Infrastructure 代码注入漏洞
CNNVD-202109-845
CVE-2021-38647
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647
10
Microsoft Windows 10权限许可和访问控制问题漏洞
CNNVD-202109-850
CVE-2021-36967
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36967
11
Microsoft多款产品权限许可和访问控制问题漏洞
CNNVD-202109-855
CVE-2021-36966
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36966
12
Microsoft Windows Codecs代码注入漏洞
CNNVD-202109-856
CVE-2021-38661
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38661
13
多款Microsoft产品代码注入漏洞
CNNVD-202109-857
CVE-2021-36965
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36965
14
多款Microsoft产品权限许可和访问控制问题漏洞
CNNVD-202109-863
CVE-2021-36963
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36963
15
Microsoft Scripting Engine缓冲区错误漏洞
CNNVD-202109-868
CVE-2021-26435
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26435
16
microsoft Windows Event Tracing权限许可和访问控制问题漏洞
CNNVD-202109-870
CVE-2021-36964
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36964
17
Microsoft Visual Studio 代码注入漏洞
CNNVD-202109-877
CVE-2021-36952
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36952
18
Microsoft Windows 权限许可和访问控制问题漏洞
CNNVD-202109-878
CVE-2021-36954
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36954
19
多款Microsoft产品权限许可和访问控制问题漏洞
CNNVD-202109-881
CVE-2021-36955
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36955
20
Microsoft Office 代码注入漏洞
CNNVD-202109-895
CVE-2021-38659
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38659
21
MPEG-2 Video Extension 代码注入漏洞
CNNVD-202109-897
CVE-2021-38644
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38644
22
Microsoft Office 代码注入漏洞
CNNVD-202109-901
CVE-2021-38656
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38656
23
多款Microsoft产品代码注入漏洞
CNNVD-202109-907
CVE-2021-38655
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38655
24
Microsoft Office 安全漏洞
CNNVD-202109-909
CVE-2021-38650
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38650
25
Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞
CNNVD-202109-914
CVE-2021-40447
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40447
26
Microsoft Office 代码注入漏洞
CNNVD-202109-915
CVE-2021-38654
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38654
27
Microsoft Office 代码注入漏洞
CNNVD-202109-920
CVE-2021-38653
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38653
28
Microsoft Office 代码注入漏洞
CNNVD-202109-923
CVE-2021-38646
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38646
29
Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞
CNNVD-202109-946
CVE-2021-38671
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38671
30
Microsoft Windows Print Spooler Components权限许可和访问控制问题漏洞
CNNVD-202109-976
CVE-2021-38667
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38667
31
多款Microsoft产品权限许可和访问控制问题漏洞
CNNVD-202109-979
CVE-2021-38639
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38639
32
Microsoft Windows Update Assistant 权限许可和访问控制问题漏洞
CNNVD-202109-823
CVE-2021-38634
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38634
33
microsoft Windows Redirected Drive Buffering信息泄露漏洞
CNNVD-202109-824
CVE-2021-38635
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38635
34
microsoft Windows Redirected Drive Buffering信息泄露漏洞
CNNVD-202109-825
CVE-2021-38636
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38636
35
microsoft Windows Storage Spaces Controller信息泄露漏洞
CNNVD-202109-826
CVE-2021-38637
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38637
36
microsoft Windows BitLocker安全特征问题特征问题漏洞
CNNVD-202109-830
CVE-2021-38632
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38632
37
microsoft Windows Event Tracing权限许可和访问控制问题漏洞
CNNVD-202109-831
CVE-2021-38630
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38630
38
多款Microsoft产品信息泄露漏洞
CNNVD-202109-832
CVE-2021-38629
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38629
39
Microsoft Windows Kernel 权限许可和访问控制问题漏洞
CNNVD-202109-835
CVE-2021-38626
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38626
40
Microsoft Windows Kernel权限许可和访问控制问题漏洞
CNNVD-202109-836
CVE-2021-38625
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38625
41
microsoft Windows Key Storage Provider安全特征问题特征问题漏洞
CNNVD-202109-838
CVE-2021-38624
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38624
42
Microsoft Windows SMB Client 信息泄露漏洞
CNNVD-202109-842
CVE-2021-36972
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36972
43
多款Microsoft产品信息泄露漏洞
CNNVD-202109-843
CVE-2021-36969
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36969
44
microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞
CNNVD-202109-844
CVE-2021-38649
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649
45
microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞
CNNVD-202109-846
CVE-2021-38648
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648
46
Microsoft Windows DNS权限许可和访问控制问题漏洞
CNNVD-202109-847
CVE-2021-36968
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36968
47
microsoft Azure Open Management Infrastructure 权限许可和访问控制问题漏洞
CNNVD-202109-848
CVE-2021-38645
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645
48
Microsoft Office 信息泄露漏洞
CNNVD-202109-849
CVE-2021-38657
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38657
49
Microsoft Dynamics 365和Microsoft Dynamics 跨站脚本漏洞
CNNVD-202109-851
CVE-2021-40440
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40440
50
microsoft Azure Sphere 安全漏洞
CNNVD-202109-852
CVE-2021-36956
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36956
51
microsoft Microsoft Accessibility Insights for Android 信息泄露漏洞
CNNVD-202109-853
CVE-2021-40448
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40448
52
Microsoft Windows Installer信息泄露漏洞
CNNVD-202109-860
CVE-2021-36962
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36962
53
Microsoft Windows Installer输入验证错误漏洞
CNNVD-202109-862
CVE-2021-36961
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36961
54
Microsoft Windows SMB Client信息泄露漏洞
CNNVD-202109-866
CVE-2021-36960
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36960
55
microsoft Windows Authenticode 安全漏洞
CNNVD-202109-880
CVE-2021-36959
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36959
56
Microsoft Office和Microsoft SharePoint 安全漏洞
CNNVD-202109-896
CVE-2021-38651
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38651
57
Microsoft Visual Studio 权限许可和访问控制问题漏洞
CNNVD-202109-911
CVE-2021-26434
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26434
58
Microsoft Visual Studio Code 安全漏洞
CNNVD-202109-933
CVE-2021-26437
中危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26437
59
Microsoft Office和Microsoft SharePoint 安全漏洞
CNNVD-202109-894
CVE-2021-38652
低危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38652
三、修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn