NSA没法更多MS交换漏洞
发布时间:2023-02-22 13:26:15 所属栏目:要闻 来源:
导读:这项对 Microsoft Exchange Server的一系列重大零天披露已经过去数周,Microsoft在其4月2021年4月的同一产品中修补了四个新的漏洞,星期二下降后美国国家安全局(NSA)。
问题中的四个漏洞Exchange Server 2013,2
问题中的四个漏洞Exchange Server 2013,2
|
这项对 Microsoft Exchange Server的一系列重大零天披露已经过去数周,Microsoft在其4月2021年4月的同一产品中修补了四个新的漏洞,星期二下降后美国国家安全局(NSA)。 问题中的四个漏洞Exchange Server 2013,2016和2019,已被分配CVES 2021-28480,-28481,-28482和-28483。他们的常见漏洞评分系统(CVSS)评级范围为8.8至9.8和三个额定均为关键,携带CVSS得分超过九点。其中两个-28480和-28481是预认证,这意味着攻击者不需要对漏洞的Exchange服务器进行身份验证以利用它们。 与Proxylogon漏洞不同,Microsoft并不相信他们已在野外被剥削,但如果成功地利用,他们将使用远程执行代码执行(RCE),使恶意演员在其目标网络中自由控制。 在一个博客文章中,微软表示,最近的事件表明了安全卫生和补丁管理比以往任何时候都更加重要,因此对其产品的用户来说至关重要,以确保他们保持最新。 “尽管微软公司致力于通过我们的服务支持数以百万计的客户,并敦促客户尽我们的一切努力将其软件更新到最新支持的版本并安装安全更新,如果尚未打开自动更新,请尽快帮助免受当今的保护动态威胁景观,“雷德蒙德说。 “在安装最新更新或修补程序之前,攻击者将攻击最近披露漏洞的努力是常见的,这就是为什么客户迁移到最新支持的软件是如此重要的原因。 “本月的版本包括我们建议您的优先顺序的许多关键漏洞,包括更新,以防止在内部部署交换服务器中的新漏洞。鉴于最近对交换的攻击焦点,我们建议客户尽快安装更新,以确保它们保持免受这些威胁的保护。在线使用Exchange的客户已受到保护,并且不需要采取任何行动。“ 英国的国家网络安全中心(NCSC)说:“作为Microsoft计划的4月份更新周期的一部分,Microsoft Exchange在Microsoft Exchange中解决了许多关键严重性漏洞。我们没有信息旨在表明这些漏洞正在积极开发中使用。然而,鉴于近期关注交换,我们建议尽快安装更新,因为攻击者可能会寻求建立在应用之前可以针对系统使用的利用能力。“以获得有利的目标。”。这一警告发布后,谷歌已经在chrome浏览器中禁用了这一功能。但是,该公司表示,他们正在努力解决这一问题。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐