GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Microsoft 3月多个安全缝隙

颁布功夫 2021-03-10

0x00 缝隙概述

2021年03月09日，Microsoft颁布了3月份的安全更新，共计建复了122个安全缝隙，其中有14个缝隙评级为严沉，75个缝隙评级为高危，其中蕴含2个0 day缝隙。

0x01 缝隙详情

本次颁布的补丁涵盖了Windows系统、Azure、Exchange Server、Office、SharePoint Server、Visual Studio、Hyper-V、IE和Edge，3月齐全缝隙列表如下：

标签	CVE ID	CVE标题	严沉水平
Application Virtualization	CVE-2021-26890	利用法式虚构化远程代码执行缝隙	高危
Azure	CVE-2021-27075	Azure虚构机信息泄露缝隙	高危
Azure Sphere	CVE-2021-27074	Azure Sphere未署名代码执行缝隙	严沉
Azure Sphere	CVE-2021-27080	Azure Sphere未署名代码执行缝隙	严沉
Internet Explorer	CVE-2021-27085	Internet Explorer远程代码执行缝隙	高危
Internet Explorer	CVE-2021-26411	Internet Explorer内存败坏缝隙	严沉
Microsoft ActiveX	CVE-2021-26869	Windows ActiveX装置法式服务信息泄露缝隙	高危
Microsoft Edge on Chromium	CVE-2021-21173	Chromium CVE-2021-21173：网络内部的侧通路信息泄漏	未知
Microsoft Edge on Chromium	CVE-2021-21172	Chromium CVE-2021-21172：文件系统API中的战术执行不及	未知
Microsoft Edge on Chromium	CVE-2021-21169	Chromium CVE-2021-21169：V8中的越界内存接见	未知
Microsoft Edge on Chromium	CVE-2021-21170	Chromium CVE-2021-21170：加载法式中的安全性UI不正确	未知
Microsoft Edge on Chromium	CVE-2021-21171	Chromium CVE-2021-21171：TabStrip和导航中的安全性UI不正确	未知
Microsoft Edge on Chromium	CVE-2021-21175	Chromium CVE-2021-21175：站点隔离中的执行不当	未知
Microsoft Edge on Chromium	CVE-2021-21176	Chromium CVE-2021-21176：在全屏模式下执行不当	未知
Microsoft Edge on Chromium	CVE-2021-21177	Chromium CVE-2021-21177：自动填充中的战术执行不及	未知
Microsoft Edge on Chromium	CVE-2021-21174	Chromium CVE-2021-21174：在Referrer中执行不当	未知
Microsoft Edge on Chromium	CVE-2021-21178	Chromium CVE-2021-21178：在合成中执行不当	未知
Microsoft Edge on Chromium	CVE-2021-21161	Chromium CVE-2021-21161：TabStrip中的堆缓冲区溢出	未知
Microsoft Edge on Chromium	CVE-2021-21162	Chromium CVE-2021-21162：在WebRTC中Use-after-free	未知
Microsoft Edge on Chromium	CVE-2021-21160	Chromium CVE-2021-21160：WebAudio中的堆缓冲区溢出	未知
Microsoft Edge on Chromium	CVE-2020-27844	Chromium CVE-2020-27844：OpenJPEG中的堆缓冲区溢出	未知
Microsoft Edge on Chromium	CVE-2021-21159	Chromium CVE-2021-21159：TabStrip中的堆缓冲区溢出	未知
Microsoft Edge on Chromium	CVE-2021-21163	Chromium CVE-2021-21163：在阅读器模式下数据验证不及	未知
Microsoft Edge on Chromium	CVE-2021-21167	Chromium CVE-2021-21167：在书签中Use-after-free	未知
Microsoft Edge on Chromium	CVE-2021-21168	Chromium CVE-2021-21168：appcache中的战术执行不及	未知
Microsoft Edge on Chromium	CVE-2021-21166	Chromium CVE-2021-21166：音频中的对象性命周期问题	未知
Microsoft Edge on Chromium	CVE-2021-21164	Chromium CVE-2021-21164：Chrome中的iOS数据验证不及	未知
Microsoft Edge on Chromium	CVE-2021-21165	Chromium CVE-2021-21165：音频中的对象性命周期问题	未知
Microsoft Edge on Chromium	CVE-2021-21189	Chromium CVE-2021-21189：付款中的政策执行不及	未知
Microsoft Edge on Chromium	CVE-2021-21181	Chromium CVE-2021-21181：自动填充中的侧通路信息泄漏	未知
Microsoft Edge on Chromium	CVE-2021-21186	Chromium CVE-2021-21186：QR扫描中的战术执行不及	未知
Microsoft Edge on Chromium	CVE-2021-21190	Chromium CVE-2021-21190：在PDFium中未初始化使用	未知
Microsoft Edge on Chromium	CVE-2021-21183	Chromium CVE-2021-21183：机能API中的实现不当	未知
Microsoft Edge on Chromium	CVE-2021-21185	Chromium CVE-2021-21185：扩大中的战术执行不及	未知
Microsoft Edge on Chromium	CVE-2021-21187	Chromium CVE-2021-21187：URL体式中的数据验证不及	未知
Microsoft Edge on Chromium	CVE-2021-21182	Chromium CVE-2021-21182：导航中的战术执行不及	未知
Microsoft Edge on Chromium	CVE-2021-21180	Chromium CVE-2021-21180：在标签搜索中Use-after-free	未知
Microsoft Edge on Chromium	CVE-2021-21184	Chromium CVE-2021-21184：机能API中的实现不当	未知
Microsoft Edge on Chromium	CVE-2021-21179	Chromium CVE-2021-21179：在网络内部Use-after-free	未知
Microsoft Edge on Chromium	CVE-2021-21188	Chromium CVE-2021-21188：在Blink中Use-after-free	未知
Microsoft Exchange Server	CVE-2021-26412	Microsoft Exchange Server远程代码执行缝隙	严沉
Microsoft Exchange Server	CVE-2021-27065	Microsoft Exchange Server远程代码执行缝隙	严沉
Microsoft Exchange Server	CVE-2021-27078	Microsoft Exchange Server远程代码执行缝隙	高危
Microsoft Exchange Server	CVE-2021-26854	Microsoft Exchange Server远程代码执行缝隙	高危
Microsoft Exchange Server	CVE-2021-26857	Microsoft Exchange Server远程代码执行缝隙	严沉
Microsoft Exchange Server	CVE-2021-26855	Microsoft Exchange Server远程代码执行缝隙	严沉
Microsoft Exchange Server	CVE-2021-26858	Microsoft Exchange Server远程代码执行缝隙	高危
Microsoft Graphics Component	CVE-2021-26863	Windows Win32k权限提升缝隙	高危
Microsoft Graphics Component	CVE-2021-27077	Windows Win32k权限提升缝隙	高危
Microsoft Graphics Component	CVE-2021-26861	Windows图形组件远程代码执行缝隙	高危
Microsoft Graphics Component	CVE-2021-26876	OpenType字体解析远程代码执行缝隙	严沉
Microsoft Graphics Component	CVE-2021-26875	Windows Win32k权限提升缝隙	高危
Microsoft Graphics Component	CVE-2021-26868	Windows图形组件权限提升缝隙	高危
Microsoft Office	CVE-2021-24108	Microsoft Office远程代码执行缝隙	高危
Microsoft Office	CVE-2021-27058	Microsoft Office ClickToRun远程代码执行缝隙	高危
Microsoft Office	CVE-2021-27059	Microsoft Office远程代码执行缝隙	高危
Microsoft Office Excel	CVE-2021-27053	Microsoft Excel远程代码执行缝隙	高危
Microsoft Office Excel	CVE-2021-27054	Microsoft Excel远程代码执行缝隙	高危
Microsoft Office Excel	CVE-2021-27057	Microsoft Office远程代码执行缝隙	高危
Microsoft Office PowerPoint	CVE-2021-27056	Microsoft PowerPoint远程代码执行缝隙	高危
Microsoft Office SharePoint	CVE-2021-27052	Microsoft SharePoint Server信息泄露缝隙	高危
Microsoft Office SharePoint	CVE-2021-24104	Microsoft SharePoint糊弄缝隙	高危
Microsoft Office SharePoint	CVE-2021-27076	Microsoft SharePoint Server远程代码执行缝隙	高危
Microsoft Office Visio	CVE-2021-27055	Microsoft Visio安全职能绕过缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-27050	HEVC视坡珐展远程代码执行缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-27049	HEVC视坡珐展远程代码执行缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-26884	Windows Media照片编解码器信息泄露缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-27051	HEVC视坡珐展远程代码执行缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-27062	HEVC视坡珐展远程代码执行缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-24110	HEVC视坡珐展远程代码执行缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-24089	HEVC视坡珐展远程代码执行缝隙	严沉
Microsoft Windows Codecs Library	CVE-2021-27061	HEVC视坡珐展远程代码执行缝隙	严沉
Microsoft Windows Codecs Library	CVE-2021-27048	HEVC视坡珐展远程代码执行缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-27047	HEVC视坡珐展远程代码执行缝隙	高危
Microsoft Windows Codecs Library	CVE-2021-26902	HEVC视坡珐展远程代码执行缝隙	严沉
Power BI	CVE-2021-26859	Microsoft Power BI信息泄露缝隙	高危
Role: DNS Server	CVE-2021-27063	Windows DNS服务器回绝服务缝隙	高危
Role: DNS Server	CVE-2021-26893	Windows DNS服务器远程代码执行缝隙	高危
Role: DNS Server	CVE-2021-26897	Windows DNS服务器远程代码执行缝隙	严沉
Role: DNS Server	CVE-2021-26894	Windows DNS服务器远程代码执行缝隙	高危
Role: DNS Server	CVE-2021-26895	Windows DNS服务器远程代码执行缝隙	高危
Role: DNS Server	CVE-2021-26896	Windows DNS服务器回绝服务缝隙	高危
Role: DNS Server	CVE-2021-26877	Windows DNS服务器远程代码执行缝隙	高危
Role: Hyper-V	CVE-2021-26867	Windows Hyper-V远程代码执行缝隙	严沉
Role: Hyper-V	CVE-2021-26879	Windows NAT回绝服务缝隙	高危
Visual Studio	CVE-2021-27084	Visual Studio Code Java扩大包远程代码执行缝隙	高危
Visual Studio	CVE-2021-21300	Git for Visual Studio远程代码执行缝隙	严沉
Visual Studio Code	CVE-2021-27060	Visual Studio代码远程代码执行缝隙	高危
Visual Studio Code	CVE-2021-27081	Visual Studio Code ESLint扩大远程代码执行缝隙	高危
Visual Studio Code	CVE-2021-27083	Visual Studio Code远程代码执行的远程开发扩大缝隙	高危
Visual Studio Code	CVE-2021-27082	用于Visual Studio代码远程代码执行缝隙的Quantum开发套件	高危
Windows Admin Center	CVE-2021-27066	Windows治理中心安全职能绕过缝隙	高危
Windows Container Execution Agent	CVE-2021-26891	Windows容器执行代理权限提升缝隙	高危
Windows Container Execution Agent	CVE-2021-26865	Windows容器执行代理权限提升缝隙	高危
Windows DirectX	CVE-2021-24095	DirectX权限提升缝隙	高危
Windows Error Reporting	CVE-2021-24090	Windows谬误汇报权限提升缝隙	高危
Windows Event Tracing	CVE-2021-24107	Windows事务跟踪信息泄露缝隙	高危
Windows Event Tracing	CVE-2021-26872	Windows事务跟踪权限提升缝隙	高危
Windows Event Tracing	CVE-2021-26901	Windows事务跟踪权限提升缝隙	高危
Windows Event Tracing	CVE-2021-26898	Windows事务跟踪权限提升缝隙	高危
Windows Extensible Firmware Interface	CVE-2021-26892	Windows可扩大固件接口安全职能绕过缝隙	高危
Windows Folder Redirection	CVE-2021-26887	Microsoft Windows文件夹沉定向权限提升缝隙	高危
Windows Installer	CVE-2021-26862	Windows Installer权限提升缝隙	高危
Windows Media	CVE-2021-26881	Microsoft Windows Media Foundation远程代码执行缝隙	高危
Windows Overlay Filter	CVE-2021-26874	Windows覆盖筛选器权限提升缝隙	高危
Windows Overlay Filter	CVE-2021-26860	Windows App-V覆盖筛选器权限提升缝隙	高危
Windows Print Spooler Components	CVE-2021-1640	Windows Print Spooler权限提升缝隙	高危
Windows Print Spooler Components	CVE-2021-26878	Windows Print Spooler权限提升缝隙	高危
Windows Projected File System Filter Driver	CVE-2021-26870	Windows Projected文件系统权限提升缝隙	高危
Windows Registry	CVE-2021-26864	Windows虚构注册表提供法式权限提升缝隙	高危
Windows Remote Access API	CVE-2021-26882	远程接见API权限提升缝隙	高危
Windows Storage Spaces Controller	CVE-2021-26880	存储空间节造器权限提升缝隙	高危
Windows Update Assistant	CVE-2021-27070	Windows 10 Update Assistant权限提升缝隙	高危
Windows Update Stack	CVE-2021-1729	Windows Update仓库装置权限提升缝隙	高危
Windows Update Stack	CVE-2021-26889	Windows Update仓库权限提升缝隙	高危
Windows Update Stack	CVE-2021-26866	Windows Update Service权限提升缝隙	高危
Windows UPnP Device Host	CVE-2021-26899	Windows UPnP设备主机权限提升缝隙	高危
Windows User Profile Service	CVE-2021-26873	Windows用户配置文件服务权限提升缝隙	高危
Windows User Profile Service	CVE-2021-26886	用户配置文件服务回绝服务缝隙	高危
Windows WalletService	CVE-2021-26871	Windows WalletService权限提升缝隙	高危
Windows WalletService	CVE-2021-26885	Windows WalletService权限提升缝隙	高危
Windows Win32K	CVE-2021-26900	Windows Win32k权限提升缝隙	高危

0x02 措置建议

目前Microsoft已颁布有关安全更新，建议尽快建复。

（一） Windows update更新

自动更新：

Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并鄙人一次启动时装置。

手动更新：

1、点击“起头菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过节造面板进入“Windows更新”，具体步骤为“节造面板”->“系统和安全”->“Windows更新”）

3、选择“查抄更新”，期待系统将自动查抄并下载可用更新。

4、沉启推算机，装置更新系统沉新启动后，可通过进入“Windows更新”->“查看更新汗青纪录”查看是否成功装置了更新。对于没有成功装置的更新，能够点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，而后在新链接当选择合用于指标系统的补丁进行下载并装置。

（二）手动装置更新

微软官方下载相应补丁进行更新。

下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

0x03 参考链接

https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2021-patch-tuesday-fixes-82-flaws-2-zero-days/

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-27076

https://www.zerodayinitiative.com/blog/2021/1/27/zdi-can-12671-windows-kernel-dosprivilege-escalation-via-a-null-pointer-deref

0x04 功夫线

2021-03-09 微软颁布安全更新

2021-03-10 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】