微软最新补丁修复Excel零日漏洞！Mac用户仍需等待

　　在本月的补丁星期二期间，微软修补了一个被威胁行为者在野外利用的 Excel 零日漏洞。

　　Microsoft 定义的零日漏洞是没有官方安全更新的公开披露的错误。

　　该漏洞被跟踪为 CVE-2021-42292，是一种高严重性的安全功能绕过，未经身份验证的攻击者可以在不需要用户交互的低复杂度攻击中在本地利用该漏洞。

　　微软还修补了上个月在天府杯黑客大赛期间使用的第二个 Excel 安全漏洞，这是一个远程代码执行漏洞，跟踪为CVE-2021-40442，可被未经身份验证的攻击者利用。

　　幸运的是，微软表示 Windows 资源管理器预览窗格不是这两个漏洞的攻击媒介。

　　这意味着成功的利用需要完全打开恶意制作的 Excel 文件，而不仅仅是单击以选择它们。

　　Mac 用户要求等待补丁

　　虽然 Redmond 为运行 Microsoft 365 Apps for Enterprise 和 Windows 版本的 Microsoft Office 和 Microsoft Excel 的系统发布了安全更新，但它未能修补 macOS 上的漏洞。

　　运行 macOS 版本的 Microsoft Office 和 Microsoft 的 Mac 客户被告知，他们必须等待更长时间才能获得 CVE-2021-42292 补丁。

　　“Microsoft Office 2019 for Mac 和 Microsoft Office LTSC for Mac 2021 的安全更新不会立即可用，”微软表示。“更新将尽快发布，当它们可用时，将通过对此 CVE 信息的修订通知客户。”

　　这两个漏洞是由 Microsoft 威胁情报中心的安全研究人员发现的。

　　微软周二还警告管理员立即修补一个高严重性的 Exchange Server 漏洞，跟踪为CVE-2021-42321并影响运行 Exchange Server 2016 和 Exchange Server 2019 的本地服务器。

　　正如昨天的安全公告中所解释的那样，成功的利用可能使经过身份验证的攻击者能够在易受攻击的服务器上远程执行代码。