微軟修補67項漏洞，包括1個被開採的零時差漏洞

微軟本周稍早釋出12月Patch Tuesday的安全更新，共修補67項漏洞，其中包含一項已被開採的零時差漏洞。

本月修補的漏洞影響產品涵括Windows、Windows元件、Office、Office元件、Edge、SharePoint Server、Windows Mobile Device Management、Hyper-V、ASP.NET Core、Visual Studio、Windows Remote Desktop Client、iSNS Server等。67項漏洞中有7項屬重大漏洞，60項為重要漏洞。6項漏洞已被公開，其中1項則遭到公開開採。

遭到公開開採的漏洞編號 CVE-2021-43890，影響Windows AppX Installer，這是用於在Windows 10電腦上安裝AppX app的工具。微軟接獲通報，本漏洞被用來散佈Emotet、Trickbot及Bazaloader等惡意程式。攻擊者可利用釣魚信件散布惡意附件誘使用戶開啟文件以植入惡意程式。本漏洞需要用戶權限來執行程式，若用戶帳號具備管理員權限，影響更為嚴重。安全廠商ZDI指出，這項漏洞屬於中度風險，但若結合權限擴張漏洞，則可能導致系統被接管。

其他5項遭公開的漏洞皆屬「重要」風險的權限擴張漏洞，影響產品包括NTFS Set Short Name（CVE-2021-43240）、Windows Encrypting File System S（CVE-2021-43893）、Windows Installer、Windows Mobile Device Management（CVE-2021-43880）及Windows Print Spooler（CVE-2021-41333）。

所幸7項重大（critical）風險漏洞皆未被公開。其中較重要的包括3項風險值9.8的程式碼執行（RCE）漏洞，分別涉及iSNS（Internet Storage Name Service）伺服器（CVE-2021-43215）、4K Wireless Display Adapter（CVE-2021-43899）以及Visual Studio WSL外掛（CVE-2021-43907）。影響建置儲域網路（SAN）的客戶、連接4K無線顯示器的電腦、以及以WSL（Windows Subsystem for Linux）開發及執行Linux 環境的開發人員。

此外，微軟也修補了Microsoft Office App存在的一個9.6風險值的RCE漏洞（CVE-2021-43905），攻擊者透過社交工程傳送惡意Office文件，用戶開啟文件即可被執行程式碼。