- Pro červenec 2022 Microsoft vydal dlouhý seznam 84 nové aktualizace zabezpečení.
- Ze všech CVE5 je kritických a 80 z nich je uvedeno jako důležité.
- Do tohoto článku jsme zahrnuli všechny a také s přímými odkazy
Pokud se cítíte trochu nepříjemně, je to proto, že už jsme v červenci a teploty nám v našich kancelářích začínají pomalu narůstat.
Uživatelé Windows se však dívají na Microsoft v naději, že některé z nedostatků, se kterými se potýkali, budou konečně opraveny.
Již jsme poskytli přímé odkazy ke stažení pro kumulativní aktualizace vydané dnes pro Windows 10 a 11, ale nyní je čas znovu mluvit o kritických zranitelnostech a ohroženích.
Tento měsíc vydal technický gigant z Redmondu 84 nových oprav, což je mnohem více, než někteří lidé těsně po Velikonocích očekávali.
Tyto aktualizace softwaru řeší CVE v:
- Microsoft Windows a součásti systému Windows
- Komponenty Windows Azure
- Microsoft Defender pro koncový bod
- Microsoft Edge (založené na prohlížeči Chromium)
- Kancelář a kancelářské komponenty
- Windows BitLocker
- Windows Hyper-V
- Skype pro firmy a Microsoft Lync
- Software s otevřeným zdrojovým kódem
- Xbox
Společnost Microsoft poskytuje opravy 84 chyb v červenci 2022
Dá se s jistotou říci, že to nebyl nejrušnější ani nejlehčí měsíc pro bezpečnostní experty z Redmondu.
Možná byste rádi věděli, že z 84 nových vydaných CVE jsou 4 hodnoceny jako kritické a zbytek (80) je hodnocen jako důležitý.
Hovoříme o 52 zranitelnostech se zvýšeným oprávněním, 4 zranitelnostech obcházení bezpečnostních funkcí, 12 chyby zabezpečení vzdáleného spuštění kódu, 11 chyb zabezpečení zpřístupnění informací a 5 odmítnutí služby zranitelnosti
| CVE | Titul | Vážnost | CVSS | Veřejnost | Využito | Typ |
| CVE-2022-22047 | Chyba zabezpečení systému Windows CSRSS Elevation of Privilege | Důležité | 7.8 | Ne | Ano | EoP |
| CVE-2022-22038 | Chyba zabezpečení vzdáleného spuštění kódu za běhu vzdáleného volání procedury | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2022-30221 | Chyba zabezpečení vzdáleného spuštění kódu grafické součásti systému Windows | Kritické | 8.8 | Ne | Ne | RCE |
| CVE-2022-22029 | Chyba zabezpečení vzdáleného spuštění kódu v systému souborů Windows | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2022-22039 | Chyba zabezpečení vzdáleného spuštění kódu v systému souborů Windows | Kritické | 7.5 | Ne | Ne | RCE |
| CVE-2022-30215 | Chyba zabezpečení zvýšení úrovně oprávnění služby Active Directory Federation Services | Důležité | 7.5 | Ne | Ne | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 AMD CPU Branch Type Confusion | Důležité | N/A | Ne | Ne | Info |
| CVE-2022-23825 * | AMD: CVE-2022-23825 Záměna typu větve CPU AMD | Důležité | N/A | Ne | Ne | Info |
| CVE-2022-30181 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33641 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33642 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33643 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33650 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33651 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33652 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.4 | Ne | Ne | EoP |
| CVE-2022-33653 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33654 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33655 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33656 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33657 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33658 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.4 | Ne | Ne | EoP |
| CVE-2022-33659 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33660 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33661 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33662 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33663 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33664 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33665 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33666 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33667 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33668 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33669 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33671 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 4.9 | Ne | Ne | EoP |
| CVE-2022-33672 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33673 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 6.5 | Ne | Ne | EoP |
| CVE-2022-33674 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 8.3 | Ne | Ne | EoP |
| CVE-2022-33675 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-33677 | Zranitelnost zvýšení úrovně oprávnění Azure Site Recovery | Důležité | 7.2 | Ne | Ne | EoP |
| CVE-2022-33676 | Chyba zabezpečení vzdáleného spuštění kódu Azure Site Recovery | Důležité | 7.2 | Ne | Ne | RCE |
| CVE-2022-33678 | Chyba zabezpečení vzdáleného spuštění kódu Azure Site Recovery | Důležité | 7.2 | Ne | Ne | RCE |
| CVE-2022-30187 | Chyba zabezpečení zpřístupnění informací knihovny Azure Storage | Důležité | 4.7 | Ne | Ne | Info |
| CVE-2022-22048 | Bezpečnostní funkce BitLocker obchází zranitelnost | Důležité | 6.1 | Ne | Ne | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Chyba zabezpečení nedostatečně chráněných přihlašovacích údajů může uniknout autentizaci nebo data záhlaví souborů cookie | Důležité | N/A | Ne | Ne | Info |
| CVE-2022-22040 | Modul dynamické komprese Internet Information Services Chyba zabezpečení odmítnutí služby | Důležité | 7.3 | Ne | Ne | DoS |
| CVE-2022-33637 | Microsoft Defender pro chybu zabezpečení týkající se manipulace s koncovým bodem | Důležité | 6.5 | Ne | Ne | Manipulace |
| CVE-2022-33632 | Funkce zabezpečení sady Microsoft Office obchází chybu zabezpečení | Důležité | 4.7 | Ne | Ne | SFB |
| CVE-2022-22036 | Čítače výkonu pro chybu zabezpečení zvýšení úrovně oprávnění systému Windows | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-33633 | Chyba zabezpečení Skypu pro firmy a vzdáleného spuštění kódu Lync | Důležité | 7.2 | Ne | Ne | RCE |
| CVE-2022-22037 | Chyba zabezpečení týkající se zvýšení úrovně oprávnění systému Windows Advanced Local Procedure | Důležité | 7.5 | Ne | Ne | EoP |
| CVE-2022-30202 | Chyba zabezpečení týkající se zvýšení úrovně oprávnění systému Windows Advanced Local Procedure | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-30224 | Chyba zabezpečení týkající se zvýšení úrovně oprávnění systému Windows Advanced Local Procedure | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-22711 | Chyba zabezpečení Windows BitLocker zpřístupnění informací | Důležité | 6.7 | Ne | Ne | Info |
| CVE-2022-30203 | Zabezpečení funkce Windows Boot Manager obejít chybu zabezpečení | Důležité | 7.4 | Ne | Ne | SFB |
| CVE-2022-30220 | Chyba zabezpečení zvýšení úrovně oprávnění ovladače systému Windows Common Log File System | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-30212 | Chyba zabezpečení zpřístupnění informací služby platformy Windows Connected Devices | Důležité | 4.7 | Ne | Ne | Info |
| CVE-2022-22031 | Chyba zabezpečení zvýšení úrovně oprávnění s veřejným klíčem připojeným k doméně Windows Credential Guard | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-22026 | Chyba zabezpečení systému Windows CSRSS Elevation of Privilege | Důležité | 8.8 | Ne | Ne | EoP |
| CVE-2022-22049 | Chyba zabezpečení systému Windows CSRSS Elevation of Privilege | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-30214 | Chyba zabezpečení vzdáleného spuštění kódu serveru DNS systému Windows | Důležité | 6.6 | Ne | Ne | RCE |
| CVE-2022-22043 | Chyba zabezpečení zvýšení úrovně oprávnění ovladače systému souborů Windows Fast FAT | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-22050 | Chyba zabezpečení zvýšené úrovně oprávnění služby Windows Fax | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-22024 | Chyba zabezpečení vzdáleného spuštění kódu služby Windows Fax Service | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2022-22027 | Chyba zabezpečení vzdáleného spuštění kódu služby Windows Fax Service | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2022-30213 | Chyba zabezpečení Windows GDI+ zpřístupnění informací | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2022-22034 | Chyba zabezpečení zvýšení úrovně oprávnění grafické součásti systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-30205 | Chyba zabezpečení zvýšení úrovně oprávnění zásad skupiny Windows | Důležité | 6.6 | Ne | Ne | EoP |
| CVE-2022-22042 | Chyba zabezpečení systému Windows Hyper-V zpřístupnění informací | Důležité | 6.5 | Ne | Ne | Info |
| CVE-2022-30223 | Chyba zabezpečení systému Windows Hyper-V zpřístupnění informací | Důležité | 5.7 | Ne | Ne | Info |
| CVE-2022-30209 | Chyba zabezpečení zvýšení úrovně oprávnění serveru Windows IIS | Důležité | 7.4 | Ne | Ne | EoP |
| CVE-2022-22025 | Chyba zabezpečení modulu Cachuri Denial of Service systému Windows Internet Information Services | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2022-21845 | Chyba zabezpečení zpřístupnění informací jádra systému Windows | Důležité | 4.7 | Ne | Ne | Info |
| CVE-2022-30211 | Chyba zabezpečení vzdáleného spuštění kódu Windows Layer 2 Tunneling Protocol (L2TP). | Důležité | 7.5 | Ne | Ne | RCE |
| CVE-2022-30225 | Zvýšená chyba zabezpečení služby sdílení sítě Windows Media Player | Důležité | 7.1 | Ne | Ne | EoP |
| CVE-2022-22028 | Chyba zabezpečení zpřístupnění informací o síťovém systému souborů Windows | Důležité | 5.9 | Ne | Ne | Info |
| CVE-2022-22023 | Funkce zabezpečení služby Windows Portable Device Enumerator obejít chybu zabezpečení | Důležité | 6.6 | Ne | Ne | SFB |
| CVE-2022-22022 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 7.1 | Ne | Ne | EoP |
| CVE-2022-22041 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 6.8 | Ne | Ne | EoP |
| CVE-2022-30206 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-30226 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 7.1 | Ne | Ne | EoP |
| CVE-2022-30208 | Chyba zabezpečení týkající se odmítnutí služby Windows Security Account Manager (SAM). | Důležité | 6.5 | Ne | Ne | DoS |
| CVE-2022-30216 | Chyba zabezpečení týkající se manipulace se službou Windows Server | Důležité | 8.8 | Ne | Ne | Manipulace |
| CVE-2022-30222 | Chyba zabezpečení vzdáleného spuštění kódu Windows Shell | Důležité | 8.4 | Ne | Ne | RCE |
| CVE-2022-22045 | Okna. Zařízení. Picker.dll Zvýšení zranitelnosti oprávnění | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2022-33644 | Zranitelnost zvýšení úrovně oprávnění služby Xbox Live Save | Důležité | 7 | Ne | Ne | EoP |
| CVE-2022-2294 * | Chromium: CVE-2022-2294 Přetečení vyrovnávací paměti haldy ve WebRTC | Vysoký | N/A | Ne | Ano | RCE |
| CVE-2022-2295 * | Chromium: CVE-2022-2295 Type Confusion ve V8 | Vysoký | N/A | Ne | Ne | RCE |
Měli byste mít na paměti, že aktualizace Patch Tuesday z tohoto měsíce opravují aktivně využívanou zranitelnost nultého dne zvýšení oprávnění.
Společnost klasifikovala zranitelnost jako zero-day, pokud je veřejně odhalena nebo aktivně využívána bez dostupné oficiální opravy.
Aby bylo jasnější, aktivně využívaná zranitelnost zero-day, která byla dnes opravena, je sledována jako CVE-2022-22047 – Windows CSRSS Elevation of Privilege Vulnerability.
Jeho zneužitím by třetí strana se zlými úmysly mohla ve skutečnosti získat SYSTÉMOVÁ privilegia, jak v tomto nedávném vydání doporučili bezpečnostní experti společnosti Microsoft.
Stejně důležité je také pamatovat na to, že ve vydání tohoto měsíce jsou tři opravy chyb odmítnutí služby (DoS), všechny mají dopad.
A z 52 oprav chyb EoP se 30 z nich týká chyb Azure Site Recovery, jedna z nich je údajně pod aktivním útokem.
Těšíme se, další vydání bezpečnostní aktualizace Patch Tuesday bude 9. srpna, což je o něco dříve, než někteří očekávali.
Našli jste po instalaci aktualizací zabezpečení pro tento měsíc nějaké další problémy? Podělte se o svůj názor v sekci komentářů níže.
