⑴在本月的补丁星期二期间,微软修补了一个被威胁行为者在野外利用的 Excel 零日漏洞。
⑵Microsoft 定义的零日漏洞是没有官方安全更新的公开披露的错误。
⑶该漏洞被跟踪为 CVE--,是一种高严重性的安全功能绕过,未经身份验证的攻击者可以在不需要用户交互的低复杂度攻击中在本地利用该漏洞。
⑷微软还修补了上个月在天府杯黑客大赛期间使用的第二个 Excel 安全漏洞,这是一个远程代码执行漏洞,跟踪为CVE--,可被未经身份验证的攻击者利用。
⑸幸运的是,微软表示 Windows 资源管理器预览窗格不是这两个漏洞的攻击媒介。
⑹这意味着成功的利用需要完全打开恶意制作的 Excel 文件,而不仅仅是单击以选择它们。
⑺Mac 用户要求等待补丁
⑻虽然 Redmond 为运行 Microsoft Apps for Enterprise 和 Windows 版本的 Microsoft Office 和 Microsoft Excel 的系统发布了安全更新,但它未能修补 macOS 上的漏洞。
⑼运行 macOS 版本的 Microsoft Office 和 Microsoft 的 Mac 客户被告知,他们必须等待更长时间才能获得 CVE-- 补丁。
⑽“Microsoft Office for Mac 和 Microsoft Office LTSC for Mac 的安全更新不会立即可用,”微软表示。“更新将尽快发布,当它们可用时,将通过对此 CVE 信息的修订通知客户。”
⑾这两个漏洞是由 Microsoft 威胁情报中心的安全研究人员发现的。
⑿微软周二还警告管理员立即修补一个高严重性的 Exchange Server 漏洞,跟踪为CVE--并影响运行 Exchange Server 和 Exchange Server 的本地服务器。
⒀正如昨天的安全公告中所解释的那样,成功的利用可能使经过身份验证的攻击者能够在易受攻击的服务器上远程执行代码。