最新的Microsoft Windows更新修补了数十个安全漏洞

周二，微软按计划每月发布一次安全更新，修补了影响Windows、Exchange Server、Internet Explorer、Office、Hyper-V、Visual Studio和Skype for Business的55个安全漏洞。

在这55个漏洞中，有4个被评为严重漏洞，50个被评为重要漏洞，一个被列为中度漏洞。其中三个漏洞已为公众所知，但与上个月不同的是，在发布时，没有一个漏洞被积极利用。

其中最关键的缺陷是CVE-2021-31166，HTTP协议栈中的一个可工作的远程代码执行漏洞。该问题可能允许未经验证的攻击者向目标服务器发送精心编制的数据包，在CVSS等级中，该问题的评分为9.8分，最高为10分。

另一个值得注意的漏洞是Hyper-V中的远程代码执行漏洞(CVE-2021-28476), which also scores the highest severity among all flaws patched this month with a CVSS rating of 9.9.

“这个问题允许来宾虚拟机强制Hyper-V主机的内核读取任意的、可能无效的地址，”微软在其公告中说。“读取的地址内容不会返回到来宾VM。在大多数情况下，由于读取未映射的地址，这将导致Hyper-V主机拒绝服务（错误检查）。”

“可以从与连接到Hyper-V主机的硬件设备对应的内存映射设备寄存器中读取数据，这可能会触发额外的、硬件设备特定的副作用，从而危及Hyper-V主机的安全性，”该Windows制造商指出。

此外，补丁周二更新解决了Internet Explorer中的脚本引擎内存损坏缺陷()以及Microsoft Exchange Server中的四个弱点，这是自3月ProxyLogon漏洞曝光以来，微软连续第三个月发布该产品的修复程序&mdash；

• CVE-2021-31207（CVSS分数：6.6）-安全功能绕过漏洞（众所周知）
• CVE-2021-31195（CVSS分数：6.5）-远程代码执行漏洞
• CVE-2021-31198（CVSS分数：7.8）-远程代码执行漏洞
• CVE-2021-31209（CVSS分数：6.5）-欺骗漏洞

虽然CVE-2021-3207和CVE-2021-3209在2021次PWN2WORE竞赛中被证明，但来自DeCype的Orange Tsai，他透露了PROXLogON Exchange Server漏洞，报告了CVE-2021-3195。

在其他地方，该更新解决了Windows容器管理器服务中的特权升级错误、Windows无线网络中的信息泄露漏洞以及微软Office、微软SharePoint Server、Skype业务、LYNC、VisualStudio和Windows MediaFoundation核心中的几个远程代码执行缺陷。

要安装最新的安全更新，Windows用户可以开始——设置——更新及安全性；Windows Update，或选择检查Windows更新。