編輯:左右裡
2022年的第二個星期二,微軟1月份的累積更新如期釋出。本次更新涉及Microsoft Edge(基於 Chromium)、Microsoft Exchange Server、Microsoft Office、Microsoft Teams、Windows Defender等,共修復97個漏洞,其中有9個高危漏洞。
各型別漏洞的數量分別為:
41個 許可權提升漏洞
9個 安全功能繞過漏洞
29個 遠端程式碼執行漏洞
6個 資訊洩露漏洞
9個 拒絕服務漏洞
3個 欺騙漏洞
所有已披露的漏洞均被列為未受攻擊。
其中最關鍵的漏洞之一是CVE-2022-21907(CVSS分數9.8),這是一個存在於HTTP協議棧的遠端程式碼執行漏洞。微軟在其公告中指出,在大多數情況下,未經身份驗證的攻擊者可以使用HTTP協議棧(http.sys)向目標伺服器傳送特製的資料包來處理資料包。
另一個關鍵漏洞是Windows Internet Key Exchange Extension中的遠端程式碼執行漏洞(CVE-2022-21849,CVSS分數9.8),微軟表示,在啟用了 Internet Key Exchange version 2的環境中,遠端攻擊者可以在未經身份驗證的情況下觸發多個漏洞。
另外還有六個未被利用的0day漏洞:
CVE-2021-22947:OpenSource Curl遠端程式碼執行漏洞
CVE-2021-36976:WindowsLibarchive遠端程式碼執行漏洞
CVE-2022-21919:Windows使用者配置檔案服務許可權提升漏洞
CVE-2022-21836:Windows證書欺騙漏洞
CVE-2022-21839:Windows事件跟蹤任意訪問控制列表拒絕服務漏洞
CVE-2022-21874:Windows安全中心 API 遠端程式碼執行漏洞
值得注意的是,更新補丁修復了多個影響Exchange Server、Microsoft Office(CVE-2022-21840)、SharePoint Server、RDP、Windows彈性檔案系統的遠端程式碼執行漏洞,以及Windows ActiveDirectory、Windows Account Control、Windows Cleanup Manager、Windows Kerberos等中的許可權提升漏洞。
資訊來源:Microsoft 安全響應中心
轉載請註明出處和本文連結
推薦文章++++
* 華為在美國專利授權排名第五,全球專利持有量前十中國佔六家
* 歐盟資料主管命令歐洲刑警組織刪除與犯罪無關的個人資料
* 法國罰谷歌臉書共2.1億歐元,因使用者無法簡單拒絕Cookie
* 2021年網路安全事件大盤點
* 動視起訴外掛網站EngineOwning,且要求外掛開發者賠償損失
* 本田謳歌汽車導航系統故障,出現時鐘倒置?
* McMenamins 23年間的僱員資料洩露,最早可追溯到1998年
﹀
﹀
﹀