Zero dias, conforme definido pela Microsoft, são bugs divulgados publicamente sem atualizações de segurança oficiais.
A vulnerabilidade, rastreada como CVE-2021-42292, é um desvio de recurso de segurança de alta gravidade que invasores não autenticados podem explorar localmente em ataques de baixa complexidade que não requerem interação do usuário.
A Microsoft também corrigiu uma segunda falha de segurança do Excel usada durante o concurso de hacking da Tianfu Cup no mês passado, um bug de execução remota de código rastreado como CVE-2021-40442 e explorável por atacantes não autenticados.
Felizmente, a Microsoft diz que o painel de visualização do Windows Explorer não é um vetor de ataque para os dois bugs.
Isso significa que a exploração bem-sucedida exige a abertura completa dos arquivos do Excel criados com códigos maliciosos, em vez de apenas clicar para selecioná-los.
Embora Redmond tenha lançado atualizações de segurança para sistemas que executam o Microsoft 365 Apps for Enterprise e versões do Windows do Microsoft Office e Microsoft Excel, ele falhou ao corrigir as vulnerabilidades no macOS.
Os clientes Mac que executam versões macOS do Microsoft Office e da Microsoft foram informados de que teriam que esperar um pouco mais pelos patches CVE-2021-42292.
“A atualização de segurança para o Microsoft Office 2019 para Mac e Microsoft Office LTSC para Mac 2021 não está disponível imediatamente”, disse a Microsoft. “As atualizações serão lançadas o mais rápido possível e, quando estiverem disponíveis, os clientes serão notificados por meio de uma revisão dessas informações CVE.”
Os dois bugs foram descobertos por pesquisadores de segurança com o Microsoft Threat Intelligence Center.
A Microsoft também alertou os administradores na terça feira para corrigir imediatamente uma vulnerabilidade de alta gravidade do Exchange Server rastreada como CVE-2021-42321 e impactar os servidores locais que executam o Exchange Server 2016 e o Exchange Server 2019.
Conforme explicado nos avisos de segurança de ontem, a exploração bem-sucedida pode permitir que invasores autenticados executem códigos remotamente em servidores vulneráveis.
Operadora japonesa confirma que invasão a sistema de e-mail compartilhado expôs até 14,22 milhões de…
Vazamento na fornecedora de IA para hospitais Xsolis atinge 1.396.519 indivíduos e inclui Social Security,…
Pesquisadores da Novee Security mapearam mais de 300 repositórios de alto impacto, em organizações como…
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…