Zero dias, conforme definido pela Microsoft, são bugs divulgados publicamente sem atualizações de segurança oficiais.
A vulnerabilidade, rastreada como CVE-2021-42292, é um desvio de recurso de segurança de alta gravidade que invasores não autenticados podem explorar localmente em ataques de baixa complexidade que não requerem interação do usuário.
A Microsoft também corrigiu uma segunda falha de segurança do Excel usada durante o concurso de hacking da Tianfu Cup no mês passado, um bug de execução remota de código rastreado como CVE-2021-40442 e explorável por atacantes não autenticados.
Felizmente, a Microsoft diz que o painel de visualização do Windows Explorer não é um vetor de ataque para os dois bugs.
Isso significa que a exploração bem-sucedida exige a abertura completa dos arquivos do Excel criados com códigos maliciosos, em vez de apenas clicar para selecioná-los.
Embora Redmond tenha lançado atualizações de segurança para sistemas que executam o Microsoft 365 Apps for Enterprise e versões do Windows do Microsoft Office e Microsoft Excel, ele falhou ao corrigir as vulnerabilidades no macOS.
Os clientes Mac que executam versões macOS do Microsoft Office e da Microsoft foram informados de que teriam que esperar um pouco mais pelos patches CVE-2021-42292.
“A atualização de segurança para o Microsoft Office 2019 para Mac e Microsoft Office LTSC para Mac 2021 não está disponível imediatamente”, disse a Microsoft. “As atualizações serão lançadas o mais rápido possível e, quando estiverem disponíveis, os clientes serão notificados por meio de uma revisão dessas informações CVE.”
Os dois bugs foram descobertos por pesquisadores de segurança com o Microsoft Threat Intelligence Center.
A Microsoft também alertou os administradores na terça feira para corrigir imediatamente uma vulnerabilidade de alta gravidade do Exchange Server rastreada como CVE-2021-42321 e impactar os servidores locais que executam o Exchange Server 2016 e o Exchange Server 2019.
Conforme explicado nos avisos de segurança de ontem, a exploração bem-sucedida pode permitir que invasores autenticados executem códigos remotamente em servidores vulneráveis.
CVE-2025-20352 no SNMP do IOS/IOS XE permite DoS e até execução como root; aplique os…
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…