- Docela rušný měsíc na vydání Microsoft Patch Tuesday se 74 CVE.
- Ze všech CVE10 je hodnoceno jako kritické, 66 jako důležité a 1 je hodnoceno jako nízké.
- Do tohoto článku jsme zahrnuli všechny a také s přímými odkazy.
Už je květen a všichni se dívají na Microsoft v naději, že některé z nedostatků, se kterými se potýkali, budou konečně opraveny.
Již jsme poskytli přímé odkazy ke stažení pro kumulativní aktualizace vydané dnes pro Windows 10 a 11, ale nyní je čas znovu mluvit o kritických zranitelnostech a ohroženích.
Tento měsíc vydal technický gigant z Redmondu 74 nových oprav, což je mnohem více, než někteří lidé těsně po Velikonocích očekávali.
Tyto aktualizace softwaru řeší CVE v:
- Microsoft Windows a součásti systému Windows
- .NET a Visual Studio
- Microsoft Edge (založené na prohlížeči Chromium)
- Microsoft Exchange Server
- Kancelář a kancelářské komponenty
- Windows Hyper-V
- Metody ověřování systému Windows
- BitLocker
- Windows Cluster Shared Volume (CSV)
- Klient vzdálené plochy
- Síťový souborový systém Windows
- NTFS
- Windows Point-to-Point Tunneling Protocol
Tento měsíc bylo identifikováno a řešeno 74 CVE
Není to nejrušnější, ale také ne nejlehčí měsíc pro bezpečnostní experty společnosti Microsoft. Možná byste rádi věděli, že ze 74 nových vydaných CVE je 7 hodnoceno jako kritické, 66 je hodnoceno jako důležité a jeden je hodnocen jako nízká závažnost
| CVE | Titul | Vážnost | CVSS | Veřejnost | Využito | Typ |
| CVE-2022-26925 | Chyba zabezpečení Windows LSA spoofing | Důležité | 8.1 | Ano | Ano | Spoofing |
| CVE-2022-29972 | Software Insight: CVE-2022-29972 Magnitude Simba Ovladač ODBC Amazon Redshift | Kritické | N/A | Ano | Ne | RCE |
| CVE-2022-22713 | Chyba zabezpečení Windows Hyper-V Denial of Service | Důležité | 5.6 | Ano | Ne | DoS |
| CVE-2022-26923 | Chyba zabezpečení zvýšení úrovně oprávnění služby Active Directory Domain Services | Kritické | 8.8 | Ne | Ne | EoP |
| CVE-2022-21972 | Chyba zabezpečení vzdáleného spuštění kódu protokolu Point-to-Point Tunneling Protocol | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2022-23270 | Chyba zabezpečení vzdáleného spuštění kódu protokolu Point-to-Point Tunneling Protocol | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2022-22017 | Chyba zabezpečení vzdáleného spuštění kódu klienta vzdálené plochy | Kritické | 8.8 | Ne | Ne | RCE |
| CVE-2022-26931 | Chyba zabezpečení zvýšení úrovně oprávnění systému Windows Kerberos | Kritické | 7.5 | Ne | Ne | EoP |
| CVE-2022-26937 | Chyba zabezpečení vzdáleného spuštění kódu v systému souborů Windows | Kritické | 9.8 | Ne | Ne | RCE |
| CVE-2022-23267 | Chyba zabezpečení .NET a Visual Studio Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2022-29117 | Chyba zabezpečení .NET a Visual Studio Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2022-29145 | Chyba zabezpečení .NET a Visual Studio Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2022-29127 | Bezpečnostní funkce nástroje BitLocker obchází zranitelnost | Důležité | 4.2 | Ne | Ne | SFB |
| CVE-2022-29109 | Chyba zabezpečení vzdáleného spuštění kódu aplikace Microsoft Excel | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2022-29110 | Chyba zabezpečení vzdáleného spuštění kódu aplikace Microsoft Excel | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2022-21978 | Chyba zabezpečení vyšší úrovně oprávnění Microsoft Exchange Server | Důležité | 8.2 | Ne | Ne | EoP |
| CVE-2022-29107 | Funkce zabezpečení sady Microsoft Office obchází chybu zabezpečení | Důležité | 5.5 | Ne | Ne | SFB |
| CVE-2022-29108 | Chyba zabezpečení vzdáleného spuštění kódu serveru Microsoft SharePoint Server | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-29105 | Chyba zabezpečení vzdáleného spuštění kódu Microsoft Windows Media Foundation | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2022-26940 | Chyba zabezpečení zpřístupnění informací klienta protokolu vzdálené plochy | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-22019 | Chyba zabezpečení při vzdáleném spuštění kódu za běhu vzdáleného volání procedury | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-26932 | Chyba zabezpečení přímého zvýšení úrovně oprávnění v úložných prostorech | Důležité | 8.2 | Ne | Ne | EoP |
| CVE-2022-26938 | Chyba zabezpečení přímého zvýšení úrovně oprávnění v úložných prostorech | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-26939 | Chyba zabezpečení přímého zvýšení úrovně oprávnění v úložných prostorech | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29126 | Tablet Windows uživatelské rozhraní aplikace Core Zvýšení úrovně oprávnění | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-30129 | Chyba zabezpečení vzdáleného spuštění kódu Visual Studio Code | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-29148 | Chyba zabezpečení vzdáleného spuštění kódu sady Visual Studio | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2022-26926 | Chyba zabezpečení vzdáleného spuštění kódu v adresáři Windows | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2022-23279 | Chyba zabezpečení systému Windows ALPC Elevation of Privilege | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-26913 | Funkce zabezpečení ověřování systému Windows obejít chybu zabezpečení | Důležité | 7.4 | Ne | Ne | SFB |
| CVE-2022-29135 | Chyba zabezpečení zvýšení úrovně oprávnění sdíleného svazku clusteru Windows (CSV). | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29150 | Chyba zabezpečení zvýšení úrovně oprávnění sdíleného svazku clusteru Windows (CSV). | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29151 | Chyba zabezpečení zvýšení úrovně oprávnění sdíleného svazku clusteru Windows (CSV). | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29138 | Chyba zabezpečení seskupení sdíleného svazku ve Windows | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29120 | Chyba zabezpečení zpřístupnění informací sdíleného svazku ve Windows | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-29122 | Chyba zabezpečení zpřístupnění informací sdíleného svazku ve Windows | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-29123 | Chyba zabezpečení zpřístupnění informací sdíleného svazku ve Windows | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-29134 | Chyba zabezpečení zpřístupnění informací sdíleného svazku ve Windows | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-29113 | Chyba zabezpečení vyšší úrovně oprávnění Windows Digital Media Receiver | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-29102 | Chyba zabezpečení zpřístupnění informací clusteru převzetí služeb při selhání systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2022-29115 | Chyba zabezpečení vzdáleného spuštění kódu služby Windows Fax Service | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2022-22011 | Chyba zabezpečení zpřístupnění informací grafické součásti systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2022-26934 | Chyba zabezpečení zpřístupnění informací grafické součásti systému Windows | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-29112 | Chyba zabezpečení zpřístupnění informací grafické součásti systému Windows | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-26927 | Chyba zabezpečení vzdáleného spuštění kódu grafické součásti systému Windows | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-24466 | Funkce zabezpečení systému Windows Hyper-V obchází chybu zabezpečení | Důležité | 4.1 | Ne | Ne | SFB |
| CVE-2022-29106 | Chyba zabezpečení zvýšení úrovně oprávnění sdíleného virtuálního disku systému Windows Hyper-V | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29133 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 8.8 | Ne | Ne | EoP |
| CVE-2022-29142 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29116 | Chyba zabezpečení zpřístupnění informací jádra systému Windows | Důležité | 4.7 | Ne | Ne | Info |
| CVE-2022-22012 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 9.8 | Ne | Ne | RCE |
| CVE-2022-22013 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-22014 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-29128 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-29129 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-29130 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 9.8 | Ne | Ne | RCE |
| CVE-2022-29131 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-29137 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-29139 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-29141 | Chyba zabezpečení vzdáleného spuštění kódu Windows LDAP | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2022-26933 | Chyba zabezpečení systému Windows NTFS zpřístupnění informací | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2022-22016 | Chyba zabezpečení zvýšení úrovně oprávnění Windows PlayToManager | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29104 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-29132 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-29114 | Chyba zabezpečení zpřístupnění informací zařazovací služby tisku systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2022-29140 | Chyba zabezpečení zpřístupnění informací zařazovací služby tisku systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2022-29125 | Windows Push Notifications Aplikace Zvýšení úrovně oprávnění Chyba zabezpečení | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-29103 | Chyba zabezpečení zvýšení úrovně oprávnění Správce vzdáleného přístupu systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-26930 | Chyba zabezpečení zpřístupnění informací Správce připojení vzdáleného přístupu systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2022-22015 | Chyba zabezpečení zpřístupnění informací protokolu RDP (Windows Remote Desktop Protocol). | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-26936 | Chyba zabezpečení zpřístupnění informací služby Windows Server | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-29121 | Chyba zabezpečení služby Windows WLAN AutoConfig odmítnutí služby | Důležité | 6.5 | Ne | Ne | DoS |
| CVE-2022-26935 | Chyba zabezpečení služby Windows WLAN AutoConfig zpřístupnění informací | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-30130 | Chyba zabezpečení .NET Framework Denial of Service | Nízký | 3.3 | Ne | Ne | DoS |
Ze všech záplat s kritickým hodnocením existují dvě, které ovlivňují implementaci protokolu PPTP (Point-to-Point Tunneling Protocol) systému Windows, který by mohl umožnit RCE.
Technologický gigant uvedl, že k úspěšnému zneužití těchto chyb by útočník musel vyhrát závod, ale ne všechny podmínky závodu jsou stejné.
V Microsoft Kerberos je také chyba Elevation of Privilege (EoP) s kritickým hodnocením, ale v tuto chvíli nejsou poskytovány žádné další informace.
Příští vydání Patch Tuesday bude 10. května, takže se příliš nezdržujte současným stavem věcí, protože se může změnit dříve, než si myslíte.
Byl pro vás tento článek užitečný? Podělte se o svůj názor v sekci komentářů níže.
