- Microsoft nebere tyto zranitelnosti na lehkou váhu a usilovně pracuje na jejich odstranění.
- V důsledku toho přišel leden 2023 s velkým množstvím oprav vyhrazených pro zabezpečení.
- Podívejte se na vše, co je třeba vědět o tomto vydání Patch Tuesday přímo zde.
Prázdniny jsou za námi a my začínáme nový rok prosperity a možností. Doufáme, že se po dovolené budete cítit svěží, protože je co dohánět.
Jak víte, je druhé úterý v měsíci, což znamená, že uživatelé Windows vzhlíží k Microsoftu v naději, že některé z nedostatků, se kterými se potýkali, budou konečně opraveny.
Dovolili jsme si poskytnout přímé odkazy ke stažení pro kumulativní aktualizace vydané dnes pro Windows 7, 8.1, 10 a 11, ale nyní je čas znovu mluvit o CVE.
V lednu Microsoft vydal 98 nových oprav, což je mnohem více, než někteří lidé očekávali hned na začátku roku 2023.
Tyto aktualizace softwaru řeší CVE v:
- Microsoft Windows a součásti Windows
- Kancelář a kancelářské komponenty
- .NET Core a Visual Studio Code
- 3D Builder, kontejner Azure Service Fabric
- Windows BitLocker
- Windows Defender
- Součásti zařazování tisku Windows
- Microsoft Exchange Server
Microsoft vydal 98 nových důležitých bezpečnostních záplat
Když vývojáři viděli, jak byl prosinec 2022 z hlediska bezpečnostních záplat docela lehkým měsícem, museli se v lednu zbavit nedostatku, což se přesně stalo.
Možná byste rádi věděli, že z 98 nových vydaných CVE je 11 hodnoceno jako kritické a 87 je hodnoceno jako důležité z hlediska závažnosti.
Také mějte na paměti, že tento objem je největší, jaký jsme od Microsoftu viděli za lednové vydání za poměrně dlouhou dobu.
Ze všech těchto zranitelností řešených tento měsíc je pouze jedna uvedena jako veřejně známá a jedna je v době vydání uvedena jako ve volné přírodě.
Všimněte si, že tyto typy chyb jsou často zabaleny do nějaké formy útoku sociálního inženýrství, jako je přesvědčování někoho, aby otevřel soubor nebo kliknul na odkaz.
Podívejme se blíže na úplný seznam CVE vydaných společností Microsoft pro leden 2023:
| CVE | Titul | Vážnost | CVSS | Veřejnost | Využito | Typ |
| CVE-2023-21674 | Zvýšená chyba zabezpečení systému Windows Advanced Local Procedure Call (ALPC). | Důležité | 8.8 | Ne | Ano | EoP |
| CVE-2023-21549 | Chyba zabezpečení vyšší úrovně oprávnění služby Windows Workstation | Důležité | 8.8 | Ano | Ne | EoP |
| CVE-2023-21561 | Chyba zabezpečení zvýšení úrovně oprávnění kryptografických služeb společnosti Microsoft | Kritické | 8.8 | Ne | Ne | EoP |
| CVE-2023-21551 | Chyba zabezpečení zvýšení úrovně oprávnění kryptografických služeb společnosti Microsoft | Kritické | 7.8 | Ne | Ne | EoP |
| CVE-2023-21743 | Funkce zabezpečení serveru Microsoft SharePoint Server obchází chybu zabezpečení | Kritické | 8.2 | Ne | Ne | SFB |
| CVE-2023-21730 | Chyba zabezpečení vzdáleného spuštění kódu služby Windows Cryptographic Services | Kritické | 7.8 | Ne | Ne | EoP |
| CVE-2023-21543 | Chyba zabezpečení vzdáleného spuštění kódu Windows Layer 2 Tunneling Protocol (L2TP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-21546 | Chyba zabezpečení vzdáleného spuštění kódu Windows Layer 2 Tunneling Protocol (L2TP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-21555 | Chyba zabezpečení vzdáleného spuštění kódu Windows Layer 2 Tunneling Protocol (L2TP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-21556 | Chyba zabezpečení vzdáleného spuštění kódu Windows Layer 2 Tunneling Protocol (L2TP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-21679 | Chyba zabezpečení vzdáleného spuštění kódu Windows Layer 2 Tunneling Protocol (L2TP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-21535 | Chyba zabezpečení vzdáleného spuštění kódu Windows Secure Socket Tunneling Protocol (SSTP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-21548 | Chyba zabezpečení vzdáleného spuštění kódu Windows Secure Socket Tunneling Protocol (SSTP). | Kritické | 8.1 | Ne | Ne | RCE |
| CVE-2023-21538 | Chyba zabezpečení .NET Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21780 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21781 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21782 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21784 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21786 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21791 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21793 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21783 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21785 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21787 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21788 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21789 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21790 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21792 | Chyba zabezpečení při vzdáleném spuštění kódu 3D Builderu | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21531 | Chyba zabezpečení zvýšení úrovně oprávnění kontejneru Azure Service Fabric | Důležité | 7 | Ne | Ne | EoP |
| CVE-2023-21563 | Bezpečnostní funkce BitLocker obchází zranitelnost | Důležité | 6.8 | Ne | Ne | SFB |
| CVE-2023-21536 | Trasování událostí pro chybu zabezpečení zpřístupnění informací systému Windows | Důležité | 4.7 | Ne | Ne | Info |
| CVE-2023-21753 | Trasování událostí pro chybu zabezpečení zpřístupnění informací systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2023-21547 | Chyba zabezpečení protokolu IKE (Internet Key Exchange) Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21724 | Chyba zabezpečení zvýšení úrovně oprávnění základní knihovny Microsoft DWM | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21764 | Chyba zabezpečení vyšší úrovně oprávnění serveru Microsoft Exchange Server | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21763 | Chyba zabezpečení vyšší úrovně oprávnění serveru Microsoft Exchange Server | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21761 | Chyba zabezpečení zpřístupnění informací serveru Microsoft Exchange Server | Důležité | 7.5 | Ne | Ne | Info |
| CVE-2023-21762 | Chyba zabezpečení Microsoft Exchange Server spoofing | Důležité | 8 | Ne | Ne | Spoofing |
| CVE-2023-21745 | Chyba zabezpečení Microsoft Exchange Server spoofing | Důležité | 8 | Ne | Ne | Spoofing |
| CVE-2023-21537 | Chyba zabezpečení vyšší úrovně oprávnění Microsoft Message Queuing (MSMQ). | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21732 | Chyba zabezpečení vzdáleného spuštění kódu ovladače Microsoft ODBC | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2023-21734 | Chyba zabezpečení vzdáleného spuštění kódu Microsoft Office | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21735 | Chyba zabezpečení vzdáleného spuštění kódu Microsoft Office | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21741 | Chyba zabezpečení aplikace Microsoft Office Visio zpřístupnění informací | Důležité | 7.1 | Ne | Ne | Info |
| CVE-2023-21736 | Chyba zabezpečení vzdáleného spuštění kódu aplikace Microsoft Office Visio | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21737 | Chyba zabezpečení vzdáleného spuštění kódu aplikace Microsoft Office Visio | Důležité | 7.8 | Ne | Ne | RCE |
| CVE-2023-21738 | Chyba zabezpečení vzdáleného spuštění kódu aplikace Microsoft Office Visio | Důležité | 7.1 | Ne | Ne | RCE |
| CVE-2023-21744 | Chyba zabezpečení vzdáleného spuštění kódu serveru Microsoft SharePoint Server | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2023-21742 | Chyba zabezpečení vzdáleného spuštění kódu serveru Microsoft SharePoint Server | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2023-21681 | Poskytovatel Microsoft WDAC OLE DB pro chybu zabezpečení vzdáleného spuštění kódu SQL Server | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2023-21725 | Chyba zabezpečení vyšší úrovně oprávnění v programu Microsoft Windows Defender | Důležité | 6.3 | Ne | Ne | EoP |
| CVE-2023-21779 | Chyba zabezpečení vzdáleného spuštění kódu Visual Studio Code | Důležité | 7.3 | Ne | Ne | RCE |
| CVE-2023-21768 | Ovladač pomocných funkcí Windows pro chybu zabezpečení WinSock Elevation of Privilege | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21539 | Chyba zabezpečení při vzdáleném spuštění kódu při ověřování systému Windows | Důležité | 7.5 | Ne | Ne | RCE |
| CVE-2023-21752 | Chyba zabezpečení zvýšení úrovně oprávnění služby Windows Backup Service | Důležité | 7.1 | Ne | Ne | EoP |
| CVE-2023-21733 | Chyba zabezpečení zvýšení úrovně oprávnění ovladače Windows Bind Filter | Důležité | 7 | Ne | Ne | EoP |
| CVE-2023-21739 | Chyba zabezpečení zvýšení úrovně oprávnění ovladače Windows Bluetooth | Důležité | 7 | Ne | Ne | EoP |
| CVE-2023-21560 | Zabezpečení funkce Windows Boot Manager obejít chybu zabezpečení | Důležité | 6.6 | Ne | Ne | SFB |
| CVE-2023-21726 | Zvýšená chyba zabezpečení uživatelského rozhraní Správce pověření systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21540 | Chyba zabezpečení zpřístupnění kryptografických informací systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2023-21550 | Chyba zabezpečení zpřístupnění kryptografických informací systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2023-21559 | Chyba zabezpečení zpřístupnění informací kryptografických služeb systému Windows | Důležité | 6.2 | Ne | Ne | Info |
| CVE-2023-21525 | Chyba zabezpečení systému Windows Encrypting File System (EFS) Denial of Service | Důležité | 5.9 | Ne | Ne | DoS |
| CVE-2023-21558 | Chyba zabezpečení zvýšení úrovně oprávnění služby Windows Error Reporting Service | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21552 | Chyba zabezpečení Windows GDI Elevation of Privilege | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21532 | Chyba zabezpečení Windows GDI Elevation of Privilege | Důležité | 7 | Ne | Ne | EoP |
| CVE-2023-21542 | Chyba zabezpečení vyšší úrovně oprávnění Instalační služba Windows Installer | Důležité | 7 | Ne | Ne | EoP |
| CVE-2023-21683 | Chyba zabezpečení rozšíření Windows Internet Key Exchange (IKE) Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21677 | Chyba zabezpečení rozšíření Windows Internet Key Exchange (IKE) Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21758 | Chyba zabezpečení rozšíření Windows Internet Key Exchange (IKE) Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21527 | Chyba zabezpečení Windows iSCSI Service Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21755 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21754 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21747 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21748 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21749 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21772 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21773 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21774 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21675 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21750 | Chyba zabezpečení zvýšení úrovně oprávnění jádra systému Windows | Důležité | 7.1 | Ne | Ne | EoP |
| CVE-2023-21776 | Chyba zabezpečení zpřístupnění informací jádra systému Windows | Důležité | 5.5 | Ne | Ne | Info |
| CVE-2023-21757 | Chyba zabezpečení odepření služby protokolu L2TP (Windows Layer 2 Tunneling Protocol). | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21557 | Chyba zabezpečení Windows Lightweight Directory Access Protocol (LDAP) Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21676 | Chyba zabezpečení vzdáleného spuštění kódu Windows Lightweight Directory Access Protocol (LDAP). | Důležité | 8.8 | Ne | Ne | RCE |
| CVE-2023-21524 | Chyba zabezpečení zvýšení úrovně oprávnění místního bezpečnostního úřadu Windows (LSA). | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21771 | Chyba zabezpečení zvýšení úrovně oprávnění správce místní relace systému Windows (LSM). | Důležité | 7 | Ne | Ne | EoP |
| CVE-2023-21728 | Chyba zabezpečení Windows Netlogon Denial of Service | Důležité | 7.5 | Ne | Ne | DoS |
| CVE-2023-21746 | Chyba zabezpečení zvýšení úrovně oprávnění systému Windows NTLM | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21767 | Chyba zabezpečení zvýšení úrovně oprávnění překryvného filtru systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21766 | Chyba zabezpečení zpřístupnění informací překryvného filtru systému Windows | Důležité | 4.7 | Ne | Ne | Info |
| CVE-2023-21682 | Chyba zabezpečení zpřístupnění informací protokolu PPP (Windows Point-to-Point Protocol). | Důležité | 5.3 | Ne | Ne | Info |
| CVE-2023-21760 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 7.1 | Ne | Ne | EoP |
| CVE-2023-21765 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21678 | Chyba zabezpečení zvýšení úrovně oprávnění zařazování tisku systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21759 | Funkce zabezpečení serveru pro správu prostředků Windows Smart Card obchází chybu zabezpečení | Důležité | 3.3 | Ne | Ne | SFB |
| CVE-2023-21541 | Chyba zabezpečení zvýšení úrovně oprávnění plánovače úloh systému Windows | Důležité | 7.8 | Ne | Ne | EoP |
| CVE-2023-21680 | Chyba zabezpečení systému Windows Win32k Elevation of Privilege | Důležité | 7.8 | Ne | Ne | EoP |
Tip odborníka:
SPONZOROVÁNO
Některé problémy s PC je těžké řešit, zejména pokud jde o poškozená úložiště nebo chybějící soubory Windows. Pokud máte potíže s opravou chyby, váš systém může být částečně rozbitý.
Doporučujeme nainstalovat Restoro, nástroj, který prohledá váš stroj a zjistí, v čem je chyba.
Klikněte zde stáhnout a začít opravovat.
Když se blíže podíváme na zbývající opravy s kritickým hodnocením, existují dvě opravy pro kryptografické služby, ale můžeme je klasifikovat spíše jako eskalace oprávnění než RCE.
Kromě toho existuje pět oprav pro protokol Layer 2 Tunneling Protocol (L2TP), který byl zaveden již ve Windows 2000.
Když se podíváme na 25 chyb při provádění kódu opravených v tomto vydání Patch Tuesday, existuje 14 oprav pro komponentu 3D Builder.
Existují také dvě opravy chyb SharePoint pro RCE, které vyžadují ověření. Každý uživatel má však ve výchozím nastavení oprávnění potřebná ke zneužití těchto chyb.
Podíváme se také na několik oprav souvisejících s SQL. Vězte, že útočník může spustit kód, pokud dokáže přesvědčit ověřeného uživatele, aby se pokusil připojit ke škodlivému SQL serveru přes ODBC.
Musíme také zmínit opravy 11 různých chyb při zveřejňování informací z tohoto měsíce a sedm z nich má za následek pouze úniky informací sestávající z nespecifikovaného obsahu paměti.
Toto lednové vydání opravuje 10 různých chyb DoS (Denial-of-Service), ale Microsoft neposkytuje žádné skutečné podrobnosti o těchto chybách, takže není jasné, zda úspěšné zneužití povede k zastavení služby nebo systému shazovat.
Dvě chyby spoofingu na serveru Exchange také obdržely kritické opravy, ačkoli popisy naznačují jiný dopad.
Zatímco jeden poznamenává, že úspěšné zneužití by mohlo odhalit hodnoty hash NTLM, druhý je o tom, že by ověřený útočník mohl dosáhnout zneužití při relaci vzdálené komunikace Powershell na server.
Ujistěte se však, že aktualizujete svůj server Exchange, abyste zajistili nápravu několika chyb, které byly tento měsíc opraveny.
Našli jste po instalaci aktualizací zabezpečení pro tento měsíc nějaké další problémy? Podělte se s námi o své zkušenosti v sekci komentářů níže.
![Úterní oprava pro Windows 10 a 11 [PŘÍMÉ ODKAZY KE STAŽENÍ]](/f/5a20a28e43d8c268b5adedc3872b0c34.jpg?width=300&height=460)
