- Για τον Ιούλιο του 2022, η Microsoft κυκλοφόρησε μια μακρά λίστα 84 νέες ενημερώσεις ασφαλείας.
- Από όλα τα CVE,5 είναι κρίσιμα και 80 από αυτά αναφέρονται ως σημαντικά.
- Έχουμε συμπεριλάβει τον καθένα και τον καθένα σε αυτό το άρθρο, με άμεσους συνδέσμους επίσης
Εάν αισθάνεστε λίγο άβολα, είναι επειδή είμαστε ήδη στον Ιούλιο και οι θερμοκρασίες αρχίζουν σιγά σιγά να μας χτίζουν στα γραφεία μας.
Οι χρήστες των Windows, ωστόσο, στρέφονται προς τη Microsoft με την ελπίδα ότι ορισμένα από τα ελαττώματα με τα οποία αγωνίζονται θα διορθωθούν τελικά.
Έχουμε ήδη παράσχει το απευθείας συνδέσμους λήψης για τις αθροιστικές ενημερώσεις που κυκλοφόρησαν σήμερα για τα Windows 10 και 11, αλλά τώρα ήρθε η ώρα να μιλήσουμε ξανά για κρίσιμα τρωτά σημεία και εκθέσεις.
Αυτόν τον μήνα, ο τεχνολογικός γίγαντας του Redmond κυκλοφόρησε 84 νέα patches, τα οποία είναι πολύ περισσότερα από όσα περίμεναν ορισμένοι αμέσως μετά το Πάσχα.
Αυτές οι ενημερώσεις λογισμικού απευθύνονται σε CVE σε:
- Microsoft Windows και Windows Components
- Στοιχεία Windows Azure
- Microsoft Defender για Endpoint
- Microsoft Edge (βασισμένο σε Chromium)
- Εξαρτήματα γραφείου και γραφείου
- Windows BitLocker
- Windows Hyper-V
- Skype για επιχειρήσεις και Microsoft Lync
- Λογισμικό ανοικτού κώδικα
- Xbox
Η Microsoft παρέχει επιδιορθώσεις για 84 ελαττώματα τον Ιούλιο του 2022
Είναι πολύ ασφαλές να πούμε ότι αυτός δεν ήταν ούτε ο πιο πολυσύχναστος ούτε ο πιο ελαφρύς μήνας για τους ειδικούς ασφαλείας που εδρεύουν στο Ρέντμοντ.
Ίσως θέλετε να γνωρίζετε ότι, από τα 84 νέα CVE που κυκλοφόρησαν, τα 4 βαθμολογούνται ως Κρίσιμα και τα υπόλοιπα (80) βαθμολογούνται ως Σημαντικά.
Μιλάμε για 52 ανύψωση ευπαθειών προνομίων, 4 τρωτά σημεία παράκαμψης χαρακτηριστικών ασφαλείας, 12 ευπάθειες απομακρυσμένης εκτέλεσης κώδικα, 11 ευπάθειες αποκάλυψης πληροφοριών και 5 άρνηση παροχής υπηρεσιών τρωτά σημεία
| CVE | Τίτλος | Αυστηρότητα | CVSS | Δημόσιο | εκμεταλλεύονται | Τύπος |
| CVE-2022-22047 | Windows CSRSS Elevation of Privilege Vulnerability | Σπουδαίος | 7.8 | Οχι | Ναί | EoP |
| CVE-2022-22038 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα κλήσης απομακρυσμένης διαδικασίας χρόνου εκτέλεσης | Κρίσιμος | 8.1 | Οχι | Οχι | RCE |
| CVE-2022-30221 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα στοιχείου γραφικών των Windows | Κρίσιμος | 8.8 | Οχι | Οχι | RCE |
| CVE-2022-22029 | Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα συστήματος αρχείων δικτύου Windows | Κρίσιμος | 8.1 | Οχι | Οχι | RCE |
| CVE-2022-22039 | Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα συστήματος αρχείων δικτύου Windows | Κρίσιμος | 7.5 | Οχι | Οχι | RCE |
| CVE-2022-30215 | Active Directory Federation Services Elevation of Privilege Vulnerability | Σπουδαίος | 7.5 | Οχι | Οχι | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 Σύγχυση τύπου υποκαταστήματος CPU AMD | Σπουδαίος | N/A | Οχι | Οχι | Πληροφορίες |
| CVE-2022-23825 * | AMD: CVE-2022-23825 Σύγχυση τύπου υποκαταστήματος CPU AMD | Σπουδαίος | N/A | Οχι | Οχι | Πληροφορίες |
| CVE-2022-30181 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33641 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33642 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33643 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33650 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33651 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33652 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.4 | Οχι | Οχι | EoP |
| CVE-2022-33653 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33654 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33655 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33656 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33657 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33658 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.4 | Οχι | Οχι | EoP |
| CVE-2022-33659 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33660 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33661 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33662 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33663 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33664 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33665 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33666 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33667 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33668 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33669 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33671 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 4.9 | Οχι | Οχι | EoP |
| CVE-2022-33672 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33673 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 6.5 | Οχι | Οχι | EoP |
| CVE-2022-33674 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 8.3 | Οχι | Οχι | EoP |
| CVE-2022-33675 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-33677 | Azure Site Recovery Elevation of Privilege Vulnerability | Σπουδαίος | 7.2 | Οχι | Οχι | EoP |
| CVE-2022-33676 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα ανάκτησης τοποθεσίας Azure | Σπουδαίος | 7.2 | Οχι | Οχι | RCE |
| CVE-2022-33678 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα ανάκτησης τοποθεσίας Azure | Σπουδαίος | 7.2 | Οχι | Οχι | RCE |
| CVE-2022-30187 | Ευπάθεια αποκάλυψης πληροφοριών βιβλιοθήκης αποθήκευσης Azure | Σπουδαίος | 4.7 | Οχι | Οχι | Πληροφορίες |
| CVE-2022-22048 | Ευπάθεια παράκαμψης δυνατοτήτων ασφαλείας BitLocker | Σπουδαίος | 6.1 | Οχι | Οχι | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Ανεπαρκώς προστατευμένη ευπάθεια διαπιστευτηρίων ενδέχεται να διαρρεύσει δεδομένα ελέγχου ταυτότητας ή κεφαλίδας cookie | Σπουδαίος | N/A | Οχι | Οχι | Πληροφορίες |
| CVE-2022-22040 | Ευπάθεια άρνησης υπηρεσίας Υπηρεσίες Πληροφοριών Διαδικτύου Δυναμική συμπίεση μονάδας | Σπουδαίος | 7.3 | Οχι | Οχι | DoS |
| CVE-2022-33637 | Microsoft Defender για ευπάθεια παραβίασης τελικού σημείου | Σπουδαίος | 6.5 | Οχι | Οχι | Παραποίηση |
| CVE-2022-33632 | Ευπάθεια παράκαμψης δυνατοτήτων ασφαλείας του Microsoft Office | Σπουδαίος | 4.7 | Οχι | Οχι | SFB |
| CVE-2022-22036 | Μετρητές απόδοσης για τα Windows Elevation of Privilege Vulnerability | Σπουδαίος | 7 | Οχι | Οχι | EoP |
| CVE-2022-33633 | Ευπάθεια Skype for Business και Lync απομακρυσμένης εκτέλεσης κώδικα | Σπουδαίος | 7.2 | Οχι | Οχι | RCE |
| CVE-2022-22037 | Προηγμένη τοπική διαδικασία των Windows Κλήση ευπάθειας προνομίου | Σπουδαίος | 7.5 | Οχι | Οχι | EoP |
| CVE-2022-30202 | Προηγμένη τοπική διαδικασία των Windows Κλήση ευπάθειας προνομίου | Σπουδαίος | 7 | Οχι | Οχι | EoP |
| CVE-2022-30224 | Προηγμένη τοπική διαδικασία των Windows Κλήση ευπάθειας προνομίου | Σπουδαίος | 7 | Οχι | Οχι | EoP |
| CVE-2022-22711 | Ευπάθεια αποκάλυψης πληροφοριών Windows BitLocker | Σπουδαίος | 6.7 | Οχι | Οχι | Πληροφορίες |
| CVE-2022-30203 | Ευπάθεια παράκαμψης δυνατοτήτων ασφαλείας του Windows Boot Manager | Σπουδαίος | 7.4 | Οχι | Οχι | SFB |
| CVE-2022-30220 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-30212 | Θέμα ευπάθειας αποκάλυψης πληροφοριών πλατφόρμας συνδεδεμένων συσκευών με Windows | Σπουδαίος | 4.7 | Οχι | Οχι | Πληροφορίες |
| CVE-2022-22031 | Windows Credential Guard Domain που συνδέεται με δημόσιο κλειδί Ανύψωση ευπάθειας προνομίων | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-22026 | Windows CSRSS Elevation of Privilege Vulnerability | Σπουδαίος | 8.8 | Οχι | Οχι | EoP |
| CVE-2022-22049 | Windows CSRSS Elevation of Privilege Vulnerability | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-30214 | Θέμα ευπάθειας εκτέλεσης απομακρυσμένου κώδικα διακομιστή DNS των Windows | Σπουδαίος | 6.6 | Οχι | Οχι | RCE |
| CVE-2022-22043 | Windows Fast FAT File System Driver Elevation of Privilege Vulnerability | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-22050 | Υπηρεσίες φαξ Windows Elevation of Privilege Vulnerity | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-22024 | Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπηρεσίας φαξ των Windows | Σπουδαίος | 7.8 | Οχι | Οχι | RCE |
| CVE-2022-22027 | Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπηρεσίας φαξ των Windows | Σπουδαίος | 7.8 | Οχι | Οχι | RCE |
| CVE-2022-30213 | Ευπάθεια αποκάλυψης πληροφοριών των Windows GDI+ | Σπουδαίος | 5.5 | Οχι | Οχι | Πληροφορίες |
| CVE-2022-22034 | Ανύψωση ευπάθειας προνομίου στοιχείου γραφικών των Windows | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-30205 | Ανύψωση ευπάθειας προνομίων πολιτικής ομάδας Windows | Σπουδαίος | 6.6 | Οχι | Οχι | EoP |
| CVE-2022-22042 | Ευπάθεια αποκάλυψης πληροφοριών των Windows Hyper-V | Σπουδαίος | 6.5 | Οχι | Οχι | Πληροφορίες |
| CVE-2022-30223 | Ευπάθεια αποκάλυψης πληροφοριών των Windows Hyper-V | Σπουδαίος | 5.7 | Οχι | Οχι | Πληροφορίες |
| CVE-2022-30209 | Ευπάθεια προνομίου ανύψωσης διακομιστή Windows IIS | Σπουδαίος | 7.4 | Οχι | Οχι | EoP |
| CVE-2022-22025 | Ευπάθεια άρνησης υπηρεσίας Υπηρεσιών Διαδικτύου των Windows Cachuri Module Denial of Service | Σπουδαίος | 7.5 | Οχι | Οχι | DoS |
| CVE-2022-21845 | Ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows | Σπουδαίος | 4.7 | Οχι | Οχι | Πληροφορίες |
| CVE-2022-30211 | Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα Windows Layer 2 Tunneling Protocol (L2TP) | Σπουδαίος | 7.5 | Οχι | Οχι | RCE |
| CVE-2022-30225 | Υπηρεσίες κοινής χρήσης δικτύου Windows Media Player Ανύψωση ευπάθειας προνομίου | Σπουδαίος | 7.1 | Οχι | Οχι | EoP |
| CVE-2022-22028 | Ευπάθεια αποκάλυψης πληροφοριών συστήματος αρχείων δικτύου των Windows | Σπουδαίος | 5.9 | Οχι | Οχι | Πληροφορίες |
| CVE-2022-22023 | Ευπάθεια παράκαμψης της δυνατότητας ασφαλείας της υπηρεσίας απαρίθμησης φορητών συσκευών των Windows | Σπουδαίος | 6.6 | Οχι | Οχι | SFB |
| CVE-2022-22022 | Windows Print Spooler Elevation of Privilege Vulnerability | Σπουδαίος | 7.1 | Οχι | Οχι | EoP |
| CVE-2022-22041 | Windows Print Spooler Elevation of Privilege Vulnerability | Σπουδαίος | 6.8 | Οχι | Οχι | EoP |
| CVE-2022-30206 | Windows Print Spooler Elevation of Privilege Vulnerability | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-30226 | Windows Print Spooler Elevation of Privilege Vulnerability | Σπουδαίος | 7.1 | Οχι | Οχι | EoP |
| CVE-2022-30208 | Ευπάθεια άρνησης υπηρεσίας Διαχείρισης λογαριασμού ασφαλείας των Windows (SAM). | Σπουδαίος | 6.5 | Οχι | Οχι | DoS |
| CVE-2022-30216 | Ευπάθεια παραβίασης της υπηρεσίας Windows Server | Σπουδαίος | 8.8 | Οχι | Οχι | Παραποίηση |
| CVE-2022-30222 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Windows Shell | Σπουδαίος | 8.4 | Οχι | Οχι | RCE |
| CVE-2022-22045 | Windows. Συσκευές. Picker.dll Ανύψωση ευπάθειας προνομίων | Σπουδαίος | 7.8 | Οχι | Οχι | EoP |
| CVE-2022-33644 | Xbox Live Save Service Elevation of Privilege Vulnerability | Σπουδαίος | 7 | Οχι | Οχι | EoP |
| CVE-2022-2294 * | Chromium: CVE-2022-2294 Υπερχείλιση buffer σωρού στο WebRTC | Υψηλός | N/A | Οχι | Ναί | RCE |
| CVE-2022-2295 * | Chromium: CVE-2022-2295 Σύγχυση τύπων στο V8 | Υψηλός | N/A | Οχι | Οχι | RCE |
Θα πρέπει να έχετε κατά νου ότι οι ενημερώσεις του Patch Τρίτη αυτού του μήνα διορθώνουν μια ευπάθεια μηδενικής ημέρας ανύψωσης προνομίων που χρησιμοποιείται ενεργά.
Η εταιρεία ταξινόμησε μια ευπάθεια ως μηδενική ημέρα, εάν αποκαλυφθεί δημόσια ή εκμεταλλευτεί ενεργά χωρίς επίσημη ενημέρωση.
Για να γίνουμε πιο σαφείς, η ευπάθεια zero-day που έγινε ενεργά εκμετάλλευση που διορθώθηκε σήμερα παρακολουθείται ως CVE-2022-22047 – Windows CSRSS Elevation of Privilege Vulnerity.
Με την εκμετάλλευσή του, ένα κακόβουλο τρίτο μέρος θα μπορούσε στην πραγματικότητα να αποκτήσει προνόμια SYSTEM, όπως έχουν συμβουλεύσει ειδικοί ασφαλείας της Microsoft μέσω αυτής της πρόσφατης έκδοσης.
Επίσης, εξίσου σημαντικό, να θυμάστε ότι υπάρχουν τρεις διορθώσεις για σφάλματα άρνησης υπηρεσίας (DoS) στην κυκλοφορία αυτού του μήνα, όλες τους με μεγάλη επίδραση.
Και, από τις 52 διορθώσεις για σφάλματα EoP, οι 30 από αυτές αντιμετωπίζουν σφάλματα ανάκτησης ιστότοπου Azure, ένα από αυτά υποτίθεται ότι δέχεται ενεργή επίθεση.
Ανυπομονούμε, η επόμενη κυκλοφορία της ενημέρωσης ασφαλείας του Patch Tuesday θα γίνει στις 9 Αυγούστου, κάτι που είναι λίγο νωρίτερα από ό, τι περίμεναν ορισμένοι.
Βρήκατε άλλα προβλήματα μετά την εγκατάσταση των ενημερώσεων ασφαλείας αυτού του μήνα; Μοιραστείτε τη γνώμη σας στην παρακάτω ενότητα σχολίων.
