首页 > 业界 > 关键词 > 漏洞最新资讯 > 正文

本月补丁星期二活动共计修复108处漏洞 其中19处为关键漏洞

2021-04-14 08:18 · 稿源:cnbeta

对于普通用户来说,本月补丁星期二活动发布的 Windows 10 累积更新并没有什么新的内容,主要是对系统安全性进行优化。不过对于 Windows 和 Microsoft Exchange 管理员来说,最近几个月一直非常忙碌,4 月累积更新修复了 5 个零日漏洞和更多的 Exchange 漏洞。在今天的更新中,微软共计修复了 108 处漏洞,其中 19 个标记为“关键漏洞”(Critial),89 个标记为“重要漏洞”(Important)。而且这些漏洞并不包含本月初发布的 6 个 Chromium Edge 漏洞。

此外,今天微软还修复了 5 个公开披露的零日漏洞,其中 1 个已知用于网络攻击。更糟糕的是,微软修复了 NSA 发现的 4 个关键的 Microsoft Exchange 漏洞。作为今天补丁星期二的一部分,微软已经修复了 4 个公开披露的漏洞和一个主动利用的漏洞。

以下 4 个漏洞微软表示已经公开暴露,但没有证据表明被黑客利用。

CVE-2021-27091 - RPC端点映射器服务权限提升的漏洞

CVE-2021-28312 - Windows NTFS 拒绝服务漏洞

CVE-2021-28437 - Windows 安装程序信息泄露漏洞 - PolarBear

CVE-2021-28458 - Azure ms-rest-nodeauth 库的权限提升漏洞

卡巴斯基研究人员 Boris Larin 发现的以下漏洞已经被黑客组织 BITTER APT 利用。

CVE-2021-28310 - Win32k 提升权限漏洞

卡巴斯基在博文中解释道:“不幸的是,我们无法捕捉到一个完整的链条,所以我们不知道该漏洞是否与另一个浏览器零日配合使用,或者与已知的、打过补丁的漏洞结合在一起使用”。

微软 Exchange 的管理员们并没有得到任何休息,因为今天又有 4 个 NSA 发现的关键远程代码执行漏洞在微软 Exchange 中得到了修复。其中两个漏洞是预认证,这意味着它们不需要攻击者先登录服务器。

CVE-2021-28480--微软Exchange服务器远程代码执行漏洞

CVE-2021-28481 - 微软Exchange服务器远程代码执行漏洞

CVE-2021-28482 - 微软Exchange服务器远程代码执行漏洞

CVE-2021-28483 - 微软Exchange服务器远程代码执行漏洞

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • GitHub 调查滥用其基础设施挖掘加密货币

    GitHub 正在调查一系列对其基础设施的攻击,攻击者滥用其自动化执行任务的功能 GitHub Actions 去挖掘加密货币。攻击者首先创建了合法项目的分支,然后向原代码库递交恶意的 Pull Reques,只需要递交就能发动攻击。如果项目启用了 GitHub Actions,那么新的 Pull Reques 就会被视为新的任务自动执行测试。GitHub 的系统将会读取恶意代码,在其基础设施内启动虚拟机下载和运行挖掘加密货币的软件。这一攻击至少从2020年11月就开始了

  • GitHub正调查有害行为者滥用其服务器基础设施进行加密采矿活动

    代码托管服务GitHub的发言人今天表示其在积极调查一系列针对其云基础设施的攻击,这些攻击让网络犯罪分子植入并滥用该公司的服务器进行非法的加密采矿作业。这些攻击自2020年秋季以来一直在进行,其滥用了GitHub的一个名为GitHub Actions的功能,

  • GitLab 远程代码执行漏洞通告

    2021年03月18日,360CERT监测发现GitLab官方发布了GitLab 代码执行的风险通告,漏洞等级:严重,漏洞评分:9.9。

  • Sonnet宣布推出双插槽40Gbps Thunderbolt SxS Pro X读卡器

    Sonnet宣布推出一款新的读卡器,被称为SF3系列--SxS PRO X读卡器,能够同时摄取多张索尼SxS卡。SF3系列SxS PRO X读卡器具有两个卡槽和一个双端口40Gbps的Thunderbolt接口,支持索尼SxS、SxS-1、SxS Pro、SxS Pro+和SxS PRO X卡。它允许用户以最高速度传输SxS卡上的文档,并可同时读取两张卡,速度高达2500MB/s。用户可以用线缆将多个读卡器串联在一起,最多支持6个串联的读卡器。这样,用户可以在不需要插拔的情况下读写多张卡,节

  • 微软将Xbox基础网络服务更名为Xbox Network

    ​根据外媒报导,微软近期已经将针对Xbox 游戏平台的网络服务品牌从行之有年的「Xbox Live」更名为「Xbox Network」,官方表示这是为了区分Xbox 基础网络服务与付费会员服务「Xbox Live 金会员」。

  • 探真科技携手HARBOR,镜像漏洞从此无所遁形

    随着企业上云的步伐逐渐加快,Docker作为当前云原生领域中最热门的开源容器引擎,其热度也是一路走高。虽然官方提供了公共的镜像仓库,但是从安全和效率等角度考虑,部署企业私有环境内的Registry也是非常必要的。 Harbor是由VMware公司开源的企业级的Docker Registry管理项目,可通过策略与基于角色的访问控制实现工件保护,扫描镜像内容使其免受漏洞侵害,最后对镜像进行可信签名。为企业用户提供了包括了RBAC权限管理、LDAP、审

  • 为FBI解锁圣贝纳迪诺枪手iPhone的公司被曝出:Azimuth Security

    就连苹果公司也查不出FBI在哪家公司的协助下解锁了圣贝纳迪诺枪手的一部iPhone,但一份新的报告声称知道做这项工作的秘密公司,它的名字叫Azimuth Security。尽管2016年有很多人猜测FBI雇佣了业内知名的Cellebrite来解锁枪手的iPhone 5C,但直到现在,真正的公司才被点名。这是一家名为Azimuth Security的澳大利亚国防承包商,现在是L3Harris Technologies的一部分。据《华盛顿邮报》报道,Azimuth是一家 "羞于对外公开"的公司,但

  • 微软谷歌将携手修复Windows平台上的YouTube音频问题

    谷歌公司负责 HTML5 媒体事务的 Dale Curtis 抱怨称,他们每天都会收到数百起有关“视频播放时没有音频”的投诉,且其中 95% 都来自于 Windows 平台的用户。按照正常的逻辑,Dale 猜测用户可能遇到了三种情况 ——(1)用户无意间将 YouTube 置于静音状态;(2)系统问题;(3)驱动程序故障。如果是系统问题,那可能是用户连接到了支持音视频传输的 HDMI / DP 显示器,但没有将音源输出正确指定到耳机 / 扬声器。如果是驱动程序问

  • 谷歌IO计划在微软Build大会前一周进行

    谷歌正式宣布了其I/O开发者大会的日期,该大会定于微软Build大会前一周举行。在传统的三大巨头(微软、苹果和谷歌)中,谷歌是最后一个确认将举办免费在线开发者大会的,同时也是开发者日历上的第一个活动。Google I/O计划于2021年5月18日至20日发布,这给Android和Chrome开发者带来了一个令人欣慰的安慰,因为该公司去年的会议社区通信中断似乎一直持续到2021年。去年,由于全球流感的空前性质,谷歌选择完全放弃了一个开发者大会

  • AMD芯片代码暗示微软可能会推出Xbox掌机

    对于Xbox粉丝来说,最近有关微软要推出便携式游戏机的传闻越来越多。尤其是一款AMD神秘的Van Gogh APU代码出现,让大家猜测AMD可能正在为微软准备便携游戏机的芯片。

  • Uber高管罗岗确认加入百度、吉利合资公司集度汽车

    百度和吉利联手打造的合资公司集度汽车将迎来一位新高管,原空客中国创新中心首席执行官罗岗已经确定加盟集度汽车担任要职。对此,百度方面还未明确回应。

  • 被拒载14次后 Uber向盲人妇女再支付110万美元

    因歧视盲人和导盲犬,Uber 在2014年被起诉。在这起案件僵持了2年之后,Uber 愿意支付260万美元的和解金。不过这起案件并没有因此结束。Uber 现在宣布将这名盲人妇女额外支付110万美元,因为她表示因为拒载错过了工作、生日庆祝派对、圣诞节前夕的教堂服务,她和她的导盲犬被拒载共计14次,其中一些发生在 Uber 最终确定2016年的解决方案之后。

  • 微软Edge浏览器恢复DoH选项:用户可选择DNS服务提供商

    基于 Chromium 的 Edge 浏览器曾经支持过 DoH(DNS Over HTTPS)功能。不过由于性能问题,微软从 Edge 安全设置中移除了 DNS 服务提供商列表。而现在替代的 DNS 服务提供商又回来了,除了稳定版之外的 Beta、Dev 和 Canary 频道版本中均已经显示。

  • 微软表示不会为Xbox Series S/X开发VR头显

    索尼为PS4开发了PS VR系统,该系统也支持PS5主机。同时索尼也确认了正在开发新一代的PS VR。不过在微软这边,迟迟都未有VR设备的消息,最新的报告也确认微软至少短时间内没有开发VR系统的打算。

  • 强队克星,BOBSPORTS代言人因扎吉的意甲奇妙之旅

    一提起BOB体育品牌代言人“九爷”因扎吉,中国球迷首先想到的是“颜值”。年轻时候的“九爷”还在亚特兰大踢球的时候,就因为帅气收获了一大批女粉丝。之后加盟了意甲豪门尤文图斯和AC米兰,更是越来越多的球迷成为“九爷”的拥趸,因此当因扎吉在 2014 年成为AC米兰一线队主教练的时候,被球迷冠以“史上最帅”主帅的头衔。 3 月之于因扎吉,着实是幸运月份。 12 年前的 3 月 15 日,因扎吉在对垒锡耶纳时点球首开纪录,完成个人

  • 欧冠备战曼城,BOBSPORTS携手多特蒙德跨越巅峰

    经过了两回合淘汰赛比赛之后,进入欧冠八强的球队全部产生,这其中英超球队成为了最大赢家,总共有切尔西、曼城和利物浦三支球队进入八强。德甲有拜仁和多特蒙德两队入围,另外三支晋级队伍分别是波尔图、皇马和大巴黎。3月19日将进行1/4抽签,1/4对决将没有回避原则,理论上任何两支8强球队都有相遇的可能。值得一提的是,8强出炉后,欧冠回归传统。8支球队,仅大巴黎没有拿到过欧冠冠军。过往,皇马一直都是欧冠夺冠热门,但本赛

  • Facebook的Pages漏洞让全球政客们可以伪造民众支持率以攻击对手

    世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞,伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词,显示了该公司如何选择性地选择对这种活动采取行动。Facebook迅速采取行动,处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动,而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。"Faceboo

  • 消息称微软将Surface Laptop 4与Surface Buds耳塞捆绑销售

    昨天微软预告了Surface Laptop 4,通过过去几周的各种泄露,我们已经知道微软很快就会公布新的Surface Laptop 4。今天我们又听到了一个新的传闻,这是由Winfuture的Roland Quandt透露的。根据他的说法,微软将把Surface Laptop 4与微软的Surface Buds捆绑在一起销售。虽然不会完全免费,但估计这一套装会打很多折扣。通过视频会议的兴起,无线耳机与台式电脑的使用关系越来越密切,因此这款组合是一套不错的捆绑产品。关于Surface

  • 决战尤文图斯 BOBSPORTS携手那不勒斯抢夺欧冠资格

    北京时间 4 月 3 日晚间21:00,BOB体育合作伙伴那不勒斯在意甲联赛第 29 轮比赛中坐镇主场对阵克罗托内。那不勒斯坐镇迭戈·马拉多纳体育场,以4- 3 的比分击败克罗托内取得联赛 4 连胜。第 29 轮比赛结束后,几家欢喜几家愁。 国际米兰1- 0 击败博洛尼亚,完成联赛九连胜,少赛一场 8 分领跑,联赛冠军近在眼前。而尤文则2- 2 与同城死敌都灵战平,排名跌落至第 4 位。而 4 月 8 日凌晨,他们将与那不勒斯进行一场意甲补赛,但?

  • B站投资TapTap母公司

    今日,哔哩哔哩宣布以约9.6亿港元战略投资心动公司,B站将以42.38港元/股的价格认购心动公司发行的普通股22,660,000股,交易完成后,B站将持有心动公司约4.72%股权。<br/> <br/>

  • 热门标签