微軟1月累積更新發布,修復6個0day、9個高危漏洞

Editor發表於2022-01-13

微軟1月累積更新發布,修復6個0day、9個高危漏洞

編輯:左右裡


2022年的第二個星期二,微軟1月份的累積更新如期釋出。本次更新涉及Microsoft Edge(基於 Chromium)、Microsoft Exchange Server、Microsoft Office、Microsoft Teams、Windows Defender等,共修復97個漏洞,其中有9個高危漏洞。

 

各型別漏洞的數量分別為:

41個 許可權提升漏洞

9個 安全功能繞過漏洞

29個 遠端程式碼執行漏洞

6個 資訊洩露漏洞

9個 拒絕服務漏洞

3個 欺騙漏洞

所有已披露的漏洞均被列為未受攻擊。

 

其中最關鍵的漏洞之一是CVE-2022-21907(CVSS分數9.8),這是一個存在於HTTP協議棧的遠端程式碼執行漏洞。微軟在其公告中指出,在大多數情況下,未經身份驗證的攻擊者可以使用HTTP協議棧(http.sys)向目標伺服器傳送特製的資料包來處理資料包。

 

另一個關鍵漏洞是Windows Internet Key Exchange Extension中的遠端程式碼執行漏洞(CVE-2022-21849,CVSS分數9.8),微軟表示,在啟用了 Internet Key Exchange version 2的環境中,遠端攻擊者可以在未經身份驗證的情況下觸發多個漏洞。

 

另外還有六個未被利用的0day漏洞:

CVE-2021-22947:OpenSource Curl遠端程式碼執行漏洞

CVE-2021-36976:WindowsLibarchive遠端程式碼執行漏洞

CVE-2022-21919:Windows使用者配置檔案服務許可權提升漏洞

CVE-2022-21836:Windows證書欺騙漏洞

CVE-2022-21839:Windows事件跟蹤任意訪問控制列表拒絕服務漏洞

CVE-2022-21874:Windows安全中心 API 遠端程式碼執行漏洞


值得注意的是,更新補丁修復了多個影響Exchange Server、Microsoft Office(CVE-2022-21840)、SharePoint Server、RDP、Windows彈性檔案系統的遠端程式碼執行漏洞,以及Windows ActiveDirectory、Windows Account Control、Windows Cleanup Manager、Windows Kerberos等中的許可權提升漏洞。

 


資訊來源:Microsoft 安全響應中心

轉載請註明出處和本文連結



微軟1月累積更新發布,修復6個0day、9個高危漏洞


推薦文章++++

華為在美國專利授權排名第五,全球專利持有量前十中國佔六家

歐盟資料主管命令歐洲刑警組織刪除與犯罪無關的個人資料

法國罰谷歌臉書共2.1億歐元,因使用者無法簡單拒絕Cookie

2021年網路安全事件大盤點

動視起訴外掛網站EngineOwning,且要求外掛開發者賠償損失

本田謳歌汽車導航系統故障,出現時鐘倒置?

McMenamins 23年間的僱員資料洩露,最早可追溯到1998年







微軟1月累積更新發布,修復6個0day、9個高危漏洞

相關文章