微軟1月累積更新發布，修復6個0day、9個高危漏洞

編輯：左右裡

2022年的第二個星期二，微軟1月份的累積更新如期釋出。本次更新涉及Microsoft Edge（基於 Chromium）、Microsoft Exchange Server、Microsoft Office、Microsoft Teams、Windows Defender等，共修復97個漏洞，其中有9個高危漏洞。

各型別漏洞的數量分別為：

41個 許可權提升漏洞

9個 安全功能繞過漏洞

29個 遠端程式碼執行漏洞

6個 資訊洩露漏洞

9個 拒絕服務漏洞

3個 欺騙漏洞

所有已披露的漏洞均被列為未受攻擊。

其中最關鍵的漏洞之一是CVE-2022-21907（CVSS分數9.8），這是一個存在於HTTP協議棧的遠端程式碼執行漏洞。微軟在其公告中指出，在大多數情況下，未經身份驗證的攻擊者可以使用HTTP協議棧（http.sys）向目標伺服器傳送特製的資料包來處理資料包。

另一個關鍵漏洞是Windows Internet Key Exchange Extension中的遠端程式碼執行漏洞（CVE-2022-21849，CVSS分數9.8），微軟表示，在啟用了 Internet Key Exchange version 2的環境中，遠端攻擊者可以在未經身份驗證的情況下觸發多個漏洞。

另外還有六個未被利用的0day漏洞：

CVE-2021-22947：OpenSource Curl遠端程式碼執行漏洞

CVE-2021-36976：WindowsLibarchive遠端程式碼執行漏洞

CVE-2022-21919：Windows使用者配置檔案服務許可權提升漏洞

CVE-2022-21836：Windows證書欺騙漏洞

CVE-2022-21839：Windows事件跟蹤任意訪問控制列表拒絕服務漏洞

CVE-2022-21874：Windows安全中心 API 遠端程式碼執行漏洞

值得注意的是，更新補丁修復了多個影響Exchange Server、Microsoft Office（CVE-2022-21840）、SharePoint Server、RDP、Windows彈性檔案系統的遠端程式碼執行漏洞，以及Windows ActiveDirectory、Windows Account Control、Windows Cleanup Manager、Windows Kerberos等中的許可權提升漏洞。

資訊來源：Microsoft 安全響應中心

轉載請註明出處和本文連結

推薦文章++++

* 華為在美國專利授權排名第五，全球專利持有量前十中國佔六家

* 歐盟資料主管命令歐洲刑警組織刪除與犯罪無關的個人資料

* 法國罰谷歌臉書共2.1億歐元，因使用者無法簡單拒絕Cookie

* 2021年網路安全事件大盤點

* 動視起訴外掛網站EngineOwning，且要求外掛開發者賠償損失

* 本田謳歌汽車導航系統故障，出現時鐘倒置？

* McMenamins 23年間的僱員資料洩露，最早可追溯到1998年

﹀

﹀

﹀