- Доста натоварен месец за изданието на Microsoft Patch във вторник, със 71 CVE.
- От всички CVE 68 бяха маркирани като важни и нито едно като умерено.
- Въпреки това, технологичният гигант в Редмънд трябваше да се справи с три неприятни критични грешки.
- Включихме всички и всички в тази статия, с директни връзки.
Отново е това време от месеца и всички гледат към Microsoft с надеждата, че някои от недостатъците, с които са се борили, най-накрая ще бъдат отстранени.
Вече предоставихме директни връзки за изтегляне за кумулативните актуализации, пуснати днес за Windows 10 и 11, но сега е време отново да поговорим за критични уязвимости и експозиции.
По отношение на тежестта, изданието този месец съвпада с изданията на Merch от предходни години, които обикновено са около 60-70 CVE.
Нека се потопим направо в него и да видим какви уязвимости са напълно изчезнали от живота ни, сега, когато тези пачове са активни.
Три критични грешки, отстранени този месец
За третия месец на 2022 г. Microsoft пусна 71 нови пачове. Това е в допълнение към 21 CVE, закърпени от Microsoft Edge (базиран на Chromium) по-рано този месец, което довежда общия брой за март до 92 CVE.
И така, 71 нови пачове, които станаха достъпни днес, адресират CVE в:
- .NET и Visual Studio
- Azure Site Recovery
- Microsoft Defender за крайна точка
- Microsoft Defender за IoT
- Microsoft Edge (базиран на Chromium)
- Microsoft Exchange Server
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Библиотека с кодеци на Microsoft Windows
- Рисувайте 3D
- Роля: Windows Hyper-V
- Skype разширение за Chrome
- Потребителски интерфейс на таблет Windows
- Код на Visual Studio
- Драйвер за спомагателни функции на Windows за WinSock
- Windows CD-ROM драйвер
- Драйвер за мини филтър на Windows Cloud Files
- Windows COM
- Драйвер за обща файлова система на регистрационни файлове на Windows
- Основна библиотека на Windows DWM
- Проследяване на събития в Windows
- Windows Fastfat драйвер
- Услуга за факс и сканиране на Windows
- Windows HTML платформа
- Windows Installer
- Ядро на Windows
- Windows Media
- Windows PDEV
- Протокол за тунелиране от точка до точка на Windows
- Компоненти на Windows Print Spooler
- Отдалечен работен плот на Windows
- Интерфейс на доставчика на поддръжка за сигурност на Windows
- Windows SMB сървър
- Стек за актуализиране на Windows
- XBox
Важно е също да се спомене, че от 71 CVE, публикувани днес, три са оценени като критични, а 68 са с оценка като важни по тежест.
Броят на кръпките с критична оценка отново е странно нисък за този брой грешки, според експерти и някои от по-запознатите с технологиите потребители.
Освен това все още не е сигурно дали този нисък процент на грешки е просто съвпадение или Microsoft може да оценява сериозността, използвайки различно изчисление, отколкото в миналото.
| CVE | Заглавие | Тежест | CVSS | Обществени | Експлоатиран | Тип |
| CVE-2022-24512 | .NET и Visual Studio Уязвимост при отдалечено изпълнение на код | Важно | 6.3 | да | Не | RCE |
| CVE-2022-21990 | Уязвимост при отдалечено изпълнение на код на клиента за отдалечен работен плот | Важно | 8.8 | да | Не | RCE |
| CVE-2022-24459 | Уязвимост за повишаване на привилегията на услугата за факс и сканиране на Windows | Важно | 7.8 | да | Не | EoP |
| CVE-2022-22006 | HEVC Video Extensions Уязвимост при отдалечено изпълнение на код | Критичен | 7.8 | Не | Не | RCE |
| CVE-2022-23277 | Уязвимост при отдалечено изпълнение на код на Microsoft Exchange Server | Критичен | 8.8 | Не | Не | RCE |
| CVE-2022-24501 | VP9 Video Extensions Уязвимост при отдалечено изпълнение на код | Критичен | 7.8 | Не | Не | RCE |
| CVE-2022-24508 | Уязвимост на Windows SMBv3 клиент/сървър при отдалечено изпълнение на код | Важно | 8.8 | Не | Не | RCE |
| CVE-2022-21967 | Xbox Live Auth Manager за уязвимост за повишаване на привилегиите на Windows | Важно | 7 | Не | Не | EoP |
| CVE-2022-24464 | .NET и Visual Studio Уязвимост от отказ на услуга | Важно | 7.5 | Не | Не | DoS |
| CVE-2022-24469 | Уязвимост за повишаване на привилегията при възстановяване на Azure Site | Важно | 8.1 | Не | Не | EoP |
| CVE-2022-24506 | Уязвимост за повишаване на привилегията при възстановяване на Azure Site | Важно | 6.5 | Не | Не | EoP |
| CVE-2022-24515 | Уязвимост за повишаване на привилегията при възстановяване на Azure Site | Важно | 6.5 | Не | Не | EoP |
| CVE-2022-24518 | Уязвимост за повишаване на привилегията при възстановяване на Azure Site | Важно | 6.5 | Не | Не | EoP |
| CVE-2022-24519 | Уязвимост за повишаване на привилегията при възстановяване на Azure Site | Важно | 6.5 | Не | Не | EoP |
| CVE-2022-24467 | Уязвимост при отдалечено изпълнение на код за възстановяване на Azure Site | Важно | 7.2 | Не | Не | RCE |
| CVE-2022-24468 | Уязвимост при отдалечено изпълнение на код за възстановяване на Azure Site | Важно | 7.2 | Не | Не | RCE |
| CVE-2022-24470 | Уязвимост при отдалечено изпълнение на код за възстановяване на Azure Site | Важно | 7.2 | Не | Не | RCE |
| CVE-2022-24471 | Уязвимост при отдалечено изпълнение на код за възстановяване на Azure Site | Важно | 7.2 | Не | Не | RCE |
| CVE-2022-24517 | Уязвимост при отдалечено изпълнение на код за възстановяване на Azure Site | Важно | 7.2 | Не | Не | RCE |
| CVE-2022-24520 | Уязвимост при отдалечено изпълнение на код за възстановяване на Azure Site | Важно | 7.2 | Не | Не | RCE |
| CVE-2020-8927 * | Уязвимост от препълване на буфера на библиотеката Brotli | Важно | 6.5 | Не | Не | N/A |
| CVE-2022-24457 | HEIF Image Extensions Уязвимост при отдалечено изпълнение на код | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-22007 | HEVC Video Extensions Уязвимост при отдалечено изпълнение на код | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-23301 | HEVC Video Extensions Уязвимост при отдалечено изпълнение на код | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-24452 | HEVC Video Extensions Уязвимост при отдалечено изпълнение на код | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-24453 | HEVC Video Extensions Уязвимост при отдалечено изпълнение на код | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-24456 | HEVC Video Extensions Уязвимост при отдалечено изпълнение на код | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-21977 | Уязвимост при разкриване на информация на Media Foundation | Важно | 3.3 | Не | Не | Информация |
| CVE-2022-22010 | Уязвимост при разкриване на информация на Media Foundation | Важно | 4.4 | Не | Не | Информация |
| CVE-2022-23278 | Microsoft Defender за уязвимост при измама на крайна точка | Важно | 5.9 | Не | Не | Подправяне |
| CVE-2022-23266 | Уязвимост на Microsoft Defender за повишаване на привилегиите за IoT | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-23265 | Уязвимост на Microsoft Defender за IoT отдалечено изпълнение на код | Важно | 7.2 | Не | Не | RCE |
| CVE-2022-24463 | Уязвимост от измама на сървъра на Microsoft Exchange | Важно | 6.5 | Не | Не | Подправяне |
| CVE-2022-24465 | Портал на Microsoft Intune за заобикаляне на уязвимостта на функциите за сигурност на iOS | Важно | 3.3 | Не | Не | SFB |
| CVE-2022-24461 | Уязвимост при отдалечено изпълнение на код на Microsoft Office Visio | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-24509 | Уязвимост при отдалечено изпълнение на код на Microsoft Office Visio | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-24510 | Уязвимост при отдалечено изпълнение на код на Microsoft Office Visio | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-24511 | Уязвимост от подправяне на Microsoft Office Word | Важно | 5.5 | Не | Не | Подправяне |
| CVE-2022-24462 | Уязвимост за заобикаляне на функцията за защита на Microsoft Word | Важно | 5.5 | Не | Не | SFB |
| CVE-2022-23282 | Уязвимост при изпълнение на отдалечен код на Paint 3D | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-23253 | Уязвимост на протокола за отказ на услуга от точка до точка | Важно | 6.5 | Не | Не | DoS |
| CVE-2022-23295 | Уязвимост при отдалечено изпълнение на код за разширение на необработено изображение | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-23300 | Уязвимост при отдалечено изпълнение на код за разширение на необработено изображение | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-23285 | Уязвимост при отдалечено изпълнение на код на клиента за отдалечен работен плот | Важно | 8.8 | Не | Не | RCE |
| CVE-2022-24503 | Уязвимост при разкриване на информация за клиента на протокола за отдалечен работен плот | Важно | 5.4 | Не | Не | Информация |
| CVE-2022-24522 | Разширение на Skype за уязвимост при разкриване на информация в Chrome | Важно | 7.5 | Не | Не | Информация |
| CVE-2022-24460 | Уязвимост за повишаване на привилегията на приложението за потребителски интерфейс на Windows на таблет | Важно | 7 | Не | Не | EoP |
| CVE-2022-24526 | Уязвимост от подправяне на код на Visual Studio | Важно | 6.1 | Не | Не | Подправяне |
| CVE-2022-24451 | VP9 Video Extensions Уязвимост при отдалечено изпълнение на код | Важно | 7.8 | Не | Не | RCE |
| CVE-2022-23283 | Уязвимост за повишаване на привилегиите в Windows ALPC | Важно | 7 | Не | Не | EoP |
| CVE-2022-23287 | Уязвимост за повишаване на привилегиите в Windows ALPC | Важно | 7 | Не | Не | EoP |
| CVE-2022-24505 | Уязвимост за повишаване на привилегиите в Windows ALPC | Важно | 7 | Не | Не | EoP |
| CVE-2022-24507 | Драйвер за спомагателни функции на Windows за уязвимост за повишаване на привилегиите на WinSock | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-24455 | Уязвимост за повишаване на привилегиите на драйвер на Windows CD-ROM | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-23286 | Уязвимост за повишаване на привилегията на драйвера за мини филтър на файлове на Windows | Важно | 7 | Не | Не | EoP |
| CVE-2022-23281 | Уязвимост при разкриване на информация за драйвери за обща файлова система на Windows | Важно | 5.5 | Не | Не | Информация |
| CVE-2022-23288 | Уязвимост за повишаване на привилегиите в основната библиотека на Windows DWM | Важно | 7 | Не | Не | EoP |
| CVE-2022-23291 | Уязвимост за повишаване на привилегиите в основната библиотека на Windows DWM | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-23294 | Уязвимост при отдалечено изпълнение на код за проследяване на събития в Windows | Важно | 8.8 | Не | Не | RCE |
| CVE-2022-23293 | Уязвимост за повишаване на привилегията на драйвера на Windows Fast FAT файлова система | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-24502 | Уязвимост за заобикаляне на функцията за защита на HTML платформи на Windows | Важно | 4.3 | Не | Не | SFB |
| CVE-2022-21975 | Уязвимост на Windows Hyper-V отказ на услуга | Важно | 4.7 | Не | Не | DoS |
| CVE-2022-23290 | Уязвимост за повишаване на привилегията на Windows Inking COM | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-23296 | Уязвимост за повишаване на привилегиите в Windows Installer | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-21973 | Уязвимост за отказ на услуга при актуализация на Windows Media Center | Важно | 5.5 | Не | Не | DoS |
| CVE-2022-23297 | Windows NT Lan Manager Уязвимост при разкриване на информация за драйвера на дейтаграма приемник | Важно | 5.5 | Не | Не | Информация |
| CVE-2022-23298 | Уязвимост за повишаване на привилегиите в ядрото на Windows NT | Важно | 7 | Не | Не | EoP |
| CVE-2022-23299 | Уязвимост за повишаване на привилегиите в Windows PDEV | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-23284 | Уязвимост за повишаване на привилегиите в Windows Print Spooler | Важно | 7.2 | Не | Не | EoP |
| CVE-2022-24454 | Уязвимост за повишаване на привилегиите в интерфейса на доставчика на поддръжка за сигурност | Важно | 7.8 | Не | Не | EoP |
| CVE-2022-24525 | Уязвимост за повишаване на привилегиите на стека на Windows Update | Важно | 7 | Не | Не | EoP |
| CVE-2022-0789 | Chromium: Препълване на буфера на Heap в ANGLE | Високо | N/A | Не | Не | RCE |
| CVE-2022-0797 | Chromium: Извън границите на достъп до паметта в Mojo | Високо | N/A | Не | Не | RCE |
| CVE-2022-0792 | Chromium: Извън границите, четени в ANGLE | Високо | N/A | Не | Не | RCE |
| CVE-2022-0795 | Chromium: Въведете объркване в Blink Layout | Високо | N/A | Не | Не | RCE |
| CVE-2022-0790 | Chromium: Използвайте след безплатно в Cast UI | Високо | N/A | Не | Не | RCE |
| CVE-2022-0796 | Chromium: Използвайте след безплатно в Media | Високо | N/A | Не | Не | RCE |
| CVE-2022-0791 | Chromium: Използвайте след безплатно в Omnibox | Високо | N/A | Не | Не | RCE |
| CVE-2022-0793 | Chromium: Използвайте след безплатно в Views | Високо | N/A | Не | Не | RCE |
| CVE-2022-0794 | Chromium: Използвайте след безплатно в WebShare | Високо | N/A | Не | Не | RCE |
| CVE-2022-0800 | Chromium: Препълване на буфера на Heap в потребителския интерфейс на Cast | Среден | N/A | Не | Не | RCE |
| CVE-2022-0807 | Chromium: Неподходящо внедряване в автоматичното попълване | Среден | N/A | Не | Не | Информация |
| CVE-2022-0802 | Chromium: Неподходящо внедряване в режим на цял екран | Среден | N/A | Не | Не | Информация |
| CVE-2022-0804 | Chromium: Неподходящо внедряване в режим на цял екран | Среден | N/A | Не | Не | Информация |
| CVE-2022-0801 | Chromium: Неподходящо внедряване в HTML анализатор | Среден | N/A | Не | Не | Подправяне |
| CVE-2022-0803 | Chromium: Неподходящо внедряване в разрешенията | Среден | N/A | Не | Не | SFB |
| CVE-2022-0799 | Chromium: Недостатъчно прилагане на правилата в инсталатора | Среден | N/A | Не | Не | SFB |
| CVE-2022-0809 | Chromium: Извън границите на достъп до паметта в WebXR | Среден | N/A | Не | Не | RCE |
| CVE-2022-0805 | Chromium: Използвайте след безплатно в Browser Switcher | Среден | N/A | Не | Не | RCE |
| CVE-2022-0808 | Chromium: Използвайте след безплатно в Chrome OS Shell | Среден | N/A | Не | Не | RCE |
| CVE-2022-0798 | Chromium: Използвайте след безплатно в MediaStream | Среден | N/A | Не | Не | RCE |
Имайте предвид, че нито един от грешките не е посочен като активен експлоат този месец, докато три са изброени като публично известни към момента на пускането.
Това са всички CVE, адресирани с изданието за корекция във вторник този месец. Като цяло това беше доста тежък, но сигурен месец в сравнение с предишни ситуации.
Следващата партида софтуер във вторник ще дойде на 12 април и всички сме любопитни да видим какво ще предложи Microsoft дотогава.
Нека всички да се надяваме, че няма да се налага да се справяме с критични проблеми и отсега нататък ще бъде само гладко.
Тази статия беше ли ви полезна? Споделете вашето мнение в секцията за коментари по-долу.
