- Üsna tegus kuu Microsofti plaastri teisipäevase väljalaske jaoks, 74 CVE-ga.
- Kõigist CVE-dest10 on hinnatud kriitiliseks, 66 oluliseks ja 1 madalaks.
- Oleme sellesse artiklisse lisanud kõik ja ka otselingid.
Käes on juba mai ja kõik vaatavad Microsofti poole, lootes, et mõned vead, millega nad on vaeva näinud, saavad lõpuks parandatud.
Oleme juba pakkunud otse allalaadimise lingid täna Windows 10 ja 11 jaoks välja antud kumulatiivsete värskenduste jaoks, kuid nüüd on aeg uuesti rääkida kriitilistest haavatavustest ja riskidest.
Sel kuul andis Redmondi tehnikahiiglane välja 74 uut plaastrit, mis on palju rohkem, kui mõned inimesed vahetult pärast lihavõtteid ootasid.
Need tarkvaravärskendused käsitlevad CVE-sid:
- Microsoft Windows ja Windowsi komponendid
- .NET ja Visual Studio
- Microsoft Edge (Chromiumil põhinev)
- Microsoft Exchange Server
- Kontor ja kontorikomponendid
- Windows Hyper-V
- Windowsi autentimismeetodid
- BitLocker
- Windowsi klastri jagatud köide (CSV)
- Kaugtöölaua klient
- Windowsi võrgufailisüsteem
- NTFS
- Windowsi punkt-punkti tunneliprotokoll
Sel kuul tuvastati ja käsitleti 74 CVE-d
Microsofti turbeekspertide jaoks mitte kõige tihedam, kuid ka mitte kõige kergem kuu. Võib-olla soovite teada, et 74 uuest avaldatud CVE-st 7 on hinnatud kriitiliseks, 66 on hinnatud oluliseks ja üks on madala raskusastmega.
| CVE | Pealkiri | Raskusaste | CVSS | Avalik | Ära kasutatud | Tüüp |
| CVE-2022-26925 | Windows LSA võltsimise haavatavus | Tähtis | 8.1 | Jah | Jah | Pettus |
| CVE-2022-29972 | Insight tarkvara: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC draiver | Kriitiline | N/A | Jah | Ei | RCE |
| CVE-2022-22713 | Windows Hyper-V teenuse keelamise haavatavus | Tähtis | 5.6 | Jah | Ei | DoS |
| CVE-2022-26923 | Active Directory domeeniteenuste õiguste suurendamise haavatavus | Kriitiline | 8.8 | Ei | Ei | EoP |
| CVE-2022-21972 | Punkt-punkti tunneldamisprotokolli koodi kaugkäitamise haavatavus | Kriitiline | 8.1 | Ei | Ei | RCE |
| CVE-2022-23270 | Punkt-punkti tunneldamisprotokolli koodi kaugkäitamise haavatavus | Kriitiline | 8.1 | Ei | Ei | RCE |
| CVE-2022-22017 | Remote Desktop Client Koodi kaugkäitamise haavatavus | Kriitiline | 8.8 | Ei | Ei | RCE |
| CVE-2022-26931 | Windows Kerberose õiguste tõstmise haavatavus | Kriitiline | 7.5 | Ei | Ei | EoP |
| CVE-2022-26937 | Windowsi võrgu failisüsteemi koodi kaugkäitamise haavatavus | Kriitiline | 9.8 | Ei | Ei | RCE |
| CVE-2022-23267 | .NET ja Visual Studio teenuse keelamise haavatavus | Tähtis | 7.5 | Ei | Ei | DoS |
| CVE-2022-29117 | .NET ja Visual Studio teenuse keelamise haavatavus | Tähtis | 7.5 | Ei | Ei | DoS |
| CVE-2022-29145 | .NET ja Visual Studio teenuse keelamise haavatavus | Tähtis | 7.5 | Ei | Ei | DoS |
| CVE-2022-29127 | BitLockeri turbefunktsioonist möödaviimise haavatavus | Tähtis | 4.2 | Ei | Ei | SFB |
| CVE-2022-29109 | Microsoft Exceli koodi kaugkäitamise haavatavus | Tähtis | 7.8 | Ei | Ei | RCE |
| CVE-2022-29110 | Microsoft Exceli koodi kaugkäitamise haavatavus | Tähtis | 7.8 | Ei | Ei | RCE |
| CVE-2022-21978 | Microsoft Exchange Serveri õiguste suurendamise haavatavus | Tähtis | 8.2 | Ei | Ei | EoP |
| CVE-2022-29107 | Microsoft Office'i turbefunktsioonist möödaviimise haavatavus | Tähtis | 5.5 | Ei | Ei | SFB |
| CVE-2022-29108 | Microsoft SharePoint Serveri koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-29105 | Microsoft Windows Media Foundationi koodi kaugkäitamise haavatavus | Tähtis | 7.8 | Ei | Ei | RCE |
| CVE-2022-26940 | Kaugtöölaua protokolli kliendi teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-22019 | Remote Procedure Call Runtime Koodi kaugkäivitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-26932 | Salvestusruumid otsene privileegide haavatavus | Tähtis | 8.2 | Ei | Ei | EoP |
| CVE-2022-26938 | Salvestusruumid otsene privileegide haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-26939 | Salvestusruumid otsene privileegide haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29126 | Tahvelarvuti Windowsi kasutajaliidese rakenduse põhiõiguste tõstmine haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-30129 | Visual Studio Code koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-29148 | Visual Studio koodi kaugkäitamise haavatavus | Tähtis | 7.8 | Ei | Ei | RCE |
| CVE-2022-26926 | Windowsi aadressiraamatu koodi kaugkäitamise haavatavus | Tähtis | 7.8 | Ei | Ei | RCE |
| CVE-2022-23279 | Windowsi ALPC privileegide tõstmise haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-26913 | Windowsi autentimise turvafunktsiooni möödaviimise haavatavus | Tähtis | 7.4 | Ei | Ei | SFB |
| CVE-2022-29135 | Windows Cluster Shared Volume (CSV) privileegide suurendamise haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29150 | Windows Cluster Shared Volume (CSV) privileegide suurendamise haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29151 | Windows Cluster Shared Volume (CSV) privileegide suurendamise haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29138 | Windowsi rühmitatud jagatud helitugevuse privileegide haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29120 | Windowsi rühmitatud jagatud köite teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-29122 | Windowsi rühmitatud jagatud köite teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-29123 | Windowsi rühmitatud jagatud köite teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-29134 | Windowsi rühmitatud jagatud köite teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-29113 | Windowsi digitaalmeediumi vastuvõtja õiguste suurenemise haavatavus | Tähtis | 7.8 | Ei | Ei | EoP |
| CVE-2022-29102 | Windowsi tõrkevahetusklastri teabe avalikustamise haavatavus | Tähtis | 5.5 | Ei | Ei | Info |
| CVE-2022-29115 | Windowsi faksiteenuse koodi kaugkäitamise haavatavus | Tähtis | 7.8 | Ei | Ei | RCE |
| CVE-2022-22011 | Windowsi graafikakomponendi teabe avalikustamise haavatavus | Tähtis | 5.5 | Ei | Ei | Info |
| CVE-2022-26934 | Windowsi graafikakomponendi teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-29112 | Windowsi graafikakomponendi teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-26927 | Windowsi graafika komponendi koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-24466 | Windows Hyper-V turbefunktsiooni möödaviimise haavatavus | Tähtis | 4.1 | Ei | Ei | SFB |
| CVE-2022-29106 | Windows Hyper-V jagatud virtuaalse ketta privileegide haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29133 | Windowsi kerneli privileegide tõstmise haavatavus | Tähtis | 8.8 | Ei | Ei | EoP |
| CVE-2022-29142 | Windowsi kerneli privileegide tõstmise haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29116 | Windowsi tuuma teabe avalikustamise haavatavus | Tähtis | 4.7 | Ei | Ei | Info |
| CVE-2022-22012 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 9.8 | Ei | Ei | RCE |
| CVE-2022-22013 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-22014 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-29128 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-29129 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-29130 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 9.8 | Ei | Ei | RCE |
| CVE-2022-29131 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-29137 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-29139 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-29141 | Windows LDAP koodi kaugkäitamise haavatavus | Tähtis | 8.8 | Ei | Ei | RCE |
| CVE-2022-26933 | Windows NTFS-i teabe avalikustamise haavatavus | Tähtis | 5.5 | Ei | Ei | Info |
| CVE-2022-22016 | Windows PlayToManageri õiguste suurendamise haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29104 | Windowsi prindispuuleri privileegide tõstmise haavatavus | Tähtis | 7.8 | Ei | Ei | EoP |
| CVE-2022-29132 | Windowsi prindispuuleri privileegide tõstmise haavatavus | Tähtis | 7.8 | Ei | Ei | EoP |
| CVE-2022-29114 | Windowsi prindispuuleri teabe avalikustamise haavatavus | Tähtis | 5.5 | Ei | Ei | Info |
| CVE-2022-29140 | Windowsi prindispuuleri teabe avalikustamise haavatavus | Tähtis | 5.5 | Ei | Ei | Info |
| CVE-2022-29125 | Windowsi tõukemärguannete rakendused Privileegide suurenemise haavatavus | Tähtis | 7 | Ei | Ei | EoP |
| CVE-2022-29103 | Windowsi kaugjuurdepääsu ühenduse haldur Privileegide suurenemise haavatavus | Tähtis | 7.8 | Ei | Ei | EoP |
| CVE-2022-26930 | Windowsi kaugjuurdepääsu ühenduse halduri teabe avalikustamise haavatavus | Tähtis | 5.5 | Ei | Ei | Info |
| CVE-2022-22015 | Windows Remote Desktop Protocol (RDP) teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-26936 | Windows Server Service teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-29121 | Windowsi WLAN-i automaatse konfigureerimise teenuse Teenuse keelamise haavatavus | Tähtis | 6.5 | Ei | Ei | DoS |
| CVE-2022-26935 | Windowsi WLAN-i automaatse konfigureerimise teenuse teabe avalikustamise haavatavus | Tähtis | 6.5 | Ei | Ei | Info |
| CVE-2022-30130 | .NET Frameworki teenuse keelamise haavatavus | Madal | 3.3 | Ei | Ei | DoS |
Kõigist kriitilise tähtsusega paikadest on kaks, mis mõjutavad PPTP (point-to-Point Tunneling Protocol) Windowsi rakendamist, mis võivad võimaldada RCE-d.
Tehnikahiiglane teatas, et nende vigade edukaks ärakasutamiseks peab ründaja võitma võistlustingimuse, kuid mitte kõik võistlustingimused pole identsed.
Microsoft Kerberoses on ka kriitilise reitinguga privileegide tõstmise (EoP) viga, kuid praegu ei pakuta rohkem teavet.
Järgmine plaastri teisipäeva avaldamine toimub 10. mail, nii et ärge laske praeguse olukorraga liiga rahule jääda, sest see võib muutuda varem, kui arvate.
Kas see artikkel oli teile kasulik? Jagage oma arvamust allolevas kommentaaride jaotises.
