微軟6月Patch Tuesday修補50個安全漏洞，有6個已被開採

微軟於本周二（6/8）的Patch Tuesday修補了50個安全漏洞，當中有5個被列為重大（Critical）等級，並有6個已被開採。

這6個已被開採的漏洞分別是CVE-2021-31955、CVE-2021-31956、CVE-2021-33739、CVE-2021-33742、CVE-2021-31199與CVE-2021-31201。其中，CVE-2021-31955屬於Windows核心的資訊揭露漏洞，成功開採該漏洞將允許駭客檢視核心記憶體中的內容，僅被列為重要（Important）等級；CVE-2021-31956則是存在於NTFS的權限擴張漏洞，亦被列為重要等級，駭客必須先登入系統，以執行特定程式，或者是誘導使用者開啟惡意檔案，才能開採該漏洞，成功的開採將允許駭客掌控系統。

至於CVE-2021-33739則為DWM Core Library的權限擴張漏洞，為一本地端的權限擴張攻擊，駭客可能藉由網釣或惡意郵件以誘導使用者執行惡意程式碼，亦屬於重要等級。CVE-2021-31199則為Microsoft Enhanced Cryptographic Provider的權限擴張漏洞，與Adobe於今年5月修補的CVE-2021-28550漏洞有關，根據Adobe的說法，駭客已利用該漏洞針對Windows上的Adobe Reader用戶展開攻擊，CVE-2021-31199也僅被微軟列為重要等級。

CVE-2021-33742是藏匿在Windows MSHTML平臺的遠端程式攻擊漏洞。MSHTML是IE 11所使用的排版引擎，又被稱為Trident，雖然微軟已經宣布IE 11要在明年6月正式退役，但仍會繼續使用MSHTML來支援Microsoft Edge的IE模式，也會透過WebBrowser支援其它應用。微軟並未公布駭客開採CVE-2021-33742的途徑，但把它列為重大等級漏洞。

除了上述的CVE-2021-33742之外，本月微軟修補的其它4個重大漏洞還包括CVE-2021-31985、CVE-2021-31963、CVE-2021-31959與CVE-2021-31967，它們皆屬於遠端程式攻擊漏洞，其中，CVE-2021-31985涉及Microsoft Defender，CVE-2021-31963涉及SharePoint Server，CVE-2021-31959為腳本引擎的記憶體毀損漏洞，CVE-2021-31967則與VP9 Video Extensions有關。

資安團隊Zero Day Initiative（ZDI）本月還特別點名了CVE-2021-31962，這是Kerberos AppContainer的安全功能繞過漏洞，允許駭客繞過Kerberos的身分認證，也有可能取得任何服務主體名稱（SPN）認證，將允許未經授權的駭客存取可藉由SPN存取的任何服務，因而被列為本月應優先修補的微軟漏洞之一。