Microsoft исправила две уязвимости нулевого дня в Exchange Server и Excel

Во вторник, 9 ноября, компания Microsoft выпустила исправления как минимум для 55 задокументированных уязвимостей в своих продуктах и обратила внимание пользователей на несколько из них, которые уже эксплуатируются в реальных хакерских атаках.

Речь идет о двух уязвимостях нулевого дня в Microsoft Exchange Server и Microsoft Excel.

«Нам известно об ограниченных целенаправленных атаках с использованием одной из уязвимостей ( CVE-2021-42321 ) в Exchange 2016 и 2019, проэксплуатировать которую можно после авторизации», - сообщили в Microsoft.

Проблема затрагивает локальные установки Microsoft Exchange Server, в том числе серверы, использующиеся в режиме Exchange Hybrid.

Microsoft присвоила уязвимости в Exchange Server статус критической и предупредила, что с ее помощью неавторизованный злоумышленник может выполнить произвольный код.

Вторая уязвимость нулевого дня ( CVE-2021-42292 ) затрагивает инструмент продуктивности Microsoft Excel и представляет собой уязвимость обхода функций. Она позволяет выполнить код с помощью особым образом сконфигурированных таблиц.

Уязвимость в Excel затрагивает Microsoft Office для macOS, но исправление для этой платформы еще не вышло.

В рамках ноябрьских плановых обновлений безопасности Microsoft также выпустила исправления для опасных уязвимостей в Azure, Microsoft Edge, Windows Defender, Visual Studio и различных компонентах Windows. Шесть из 55 бюллетеней безопасности помечены как критические.

«Вторник исправлений» также включает патчи от компании Adobe, устраняющие как минимум четыре уязвимости. Наиболее серьезная из них ( CVE-2021-39858 ) присутствует в RoboHelp Server и затрагивает RoboHelp Server RHS2020.0.1 и более ранние версии для Windows. О существовании эксплоита для уязвимости компании не известно.