Microsoft 近日推出 2021 年 10 月份例行性資安更新修補包「Patch Tuesday」，一共修復多達 74 個資安漏洞，其中更包括 4 個 0-day 漏洞，用戶應立即套用更新。

這次的 Patch Tuesday 資安漏洞修補包，除了上述的 74 個更新外，還有另外 7 個屬於 Microsoft Edge 的資安更新；以修補完成的漏洞類型來看這 81 個漏洞，分別如下：

• 執行權限提升漏洞：21 個；
• 資安功能跳過漏洞：6 個；
• 遠端執行任意程式碼漏洞：20 個；
• 資訊外洩漏洞：13 個；
• 服務阻斷漏洞：5 個；
• 詐騙假冒漏洞：9 個。

值得注意的是，在這批修復的資安漏洞中，共有 4 個 0-day 漏洞如下：

• CVE-2021-40449：Win32K 權限提升漏洞；這個漏洞據報已遭駭侵者大規模濫用於發動攻擊；
• CVE-2021-40469：Windows DNS Server 遠端執行任意程式碼漏洞；
• CVE-2021-41335：Windows Kernel 權限提升漏洞；
• CVE-2021-41338：Windows AppContainer 防火牆規則資安功能跳過漏洞。

在嚴重程度方面，這次 Patch Tuesday 中有三個漏洞屬於「嚴重」等級，分別為：

• CVE-2021-40486：Microsoft Word 遠端執行任意程式碼漏洞；
• CVE-2021-40461：Windows Hyper-V 遠端執行任意程式碼漏洞；
• CVE-2021-38672：同樣是 Windows Hyper-V 遠端執行任意程式碼漏洞。

由於本次更新檔案極多，建議所有微軟產品用戶，應立即透過系統更新功能，下載安裝這次資安漏洞修補包，以避免遭駭侵者透過已知漏洞發動攻擊。

• 參考連結

Microsoft October 2021 Patch Tuesday: 71 vulnerabilities, four zero-days squashed

https://www.zdnet.com/article/microsoft-october-2021-patch-tuesday-71-vulnerabilities-four-zero-days-squashed/

Microsoft October 2021 Patch Tuesday fixes 4 zero-days, 71 flaws

https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2021-patch-tuesday-fixes-4-zero-days-71-flaws/