- Melko kiireinen kuukausi Microsoft Patch Tiistai -julkaisulle, jossa on 71 CVE: tä.
- Kaikista CVE: stä 68 merkittiin tärkeäksi, eikä yksikään kohtalainen.
- Redmondin teknologiajättiläinen joutui kuitenkin käsittelemään kolme ilkeää Critical bugia.
- Olemme sisällyttäneet kaikki tähän artikkeliin, ja niissä on myös suoria linkkejä.
On taas se aika kuukaudesta, ja kaikki katsovat Microsoftia kohti toivoen, että jotkut heidän kamppailemistaan puutteista saadaan vihdoin korjattua.
Olemme jo toimittaneet suorat latauslinkit tänään julkaistuille kumulatiivisille päivityksille Windows 10:lle ja 11:lle, mutta nyt on aika puhua jälleen kriittisistä haavoittuvuuksista ja altistumisesta.
Tämän kuun julkaisu on painoltaan sama kuin aikaisempien vuosien Merch-julkaisut, jotka ovat yleensä noin 60-70 CVE: tä.
Sukellaan suoraan siihen ja katsotaan, mitkä haavoittuvuudet ovat kokonaan kadonneet elämästämme, nyt kun nämä korjaustiedostot ovat saatavilla.
Kolme kriittistä virhettä käsiteltiin tässä kuussa
Vuoden 2022 kolmannelle kuukaudelle Microsoft julkaisi 71 uutta korjaustiedostoa. Tämä on Microsoft Edgen (Chromium-pohjaisen) aiemmin tässä kuussa korjattujen 21 CVE: n lisäksi, mikä nostaa maaliskuun kokonaismäärän 92 CVE: hen.
Joten 71 uutta korjaustiedostoa, jotka tulivat saataville tänään, koskevat CVE: itä:
- .NET ja Visual Studio
- Azure-sivuston palautus
- Microsoft Defender Endpointille
- Microsoft Defender IoT: lle
- Microsoft Edge (Chromium-pohjainen)
- Microsoft Exchange Server
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Microsoft Windowsin koodekkikirjasto
- Maalaa 3D
- Rooli: Windows Hyper-V
- Skype-laajennus Chromelle
- Tabletin Windows-käyttöliittymä
- Visual Studio Code
- Windowsin lisätoimintojen ohjain WinSockille
- Windowsin CD-ROM-ohjain
- Windows Cloud Files Mini Filter -ohjain
- Windows COM
- Windowsin yhteinen lokitiedostojärjestelmän ohjain
- Windowsin DWM-ydinkirjasto
- Windowsin tapahtumien seuranta
- Windows Fastfat-ohjain
- Windowsin faksi- ja skannauspalvelu
- Windows HTML -alusta
- Windows Installer
- Windows-ydin
- Windows Media
- Windows PDEV
- Windowsin pisteestä pisteeseen tunnelointiprotokolla
- Windowsin taustatulostuskomponentit
- Windowsin etätyöpöytä
- Windowsin suojaustukipalvelun käyttöliittymä
- Windowsin SMB-palvelin
- Windows Update Stack
- Xbox
Tärkeää on myös mainita, että tänään julkaistusta 71 CVE: stä kolme on luokiteltu kriittisiksi ja 68:lla Tärkeä.
Asiantuntijoiden ja joidenkin tekniikkataitoisten käyttäjien mukaan Critical-luokiteltujen korjaustiedostojen määrä on jälleen oudon alhainen tälle bugimäärälle.
Lisäksi on edelleen epävarmaa, onko tämä alhainen virheiden prosenttiosuus vain sattumaa vai voiko Microsoft arvioida vakavuutta käyttämällä erilaista laskelmaa kuin aiemmin.
| CVE | Otsikko | Vakavuus | CVSS | Julkinen | Hyödynnetty | Tyyppi |
| CVE-2022-24512 | .NET- ja Visual Studio -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 6.3 | Joo | Ei | RCE |
| CVE-2022-21990 | Remote Desktop Client koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Joo | Ei | RCE |
| CVE-2022-24459 | Windowsin faksi- ja skannauspalvelu Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Joo | Ei | EoP |
| CVE-2022-22006 | HEVC Video Extensions -koodin etäsuorittamisen haavoittuvuus | Kriittinen | 7.8 | Ei | Ei | RCE |
| CVE-2022-23277 | Microsoft Exchange Server -koodin etäsuorittamisen haavoittuvuus | Kriittinen | 8.8 | Ei | Ei | RCE |
| CVE-2022-24501 | VP9 Video Extensions -koodin etäsuorittamisen haavoittuvuus | Kriittinen | 7.8 | Ei | Ei | RCE |
| CVE-2022-24508 | Windows SMBv3 -asiakkaan/palvelimen koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-21967 | Xbox Live Auth Manager for Windows Elevation of Privilege Vulnerability | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-24464 | .NET- ja Visual Studio -palvelunestohaavoittuvuus | Tärkeä | 7.5 | Ei | Ei | DoS |
| CVE-2022-24469 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 8.1 | Ei | Ei | EoP |
| CVE-2022-24506 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-24515 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-24518 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-24519 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-24467 | Azure Site Recovery -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-24468 | Azure Site Recovery -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-24470 | Azure Site Recovery -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-24471 | Azure Site Recovery -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-24517 | Azure Site Recovery -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-24520 | Azure Site Recovery -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2020-8927 * | Brotli-kirjastopuskurin ylivuotohaavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Ei käytössä |
| CVE-2022-24457 | HEIF Image Extensions -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-22007 | HEVC Video Extensions -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-23301 | HEVC Video Extensions -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-24452 | HEVC Video Extensions -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-24453 | HEVC Video Extensions -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-24456 | HEVC Video Extensions -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-21977 | Media Foundationin tietojen paljastamisen haavoittuvuus | Tärkeä | 3.3 | Ei | Ei | Tiedot |
| CVE-2022-22010 | Media Foundationin tietojen paljastamisen haavoittuvuus | Tärkeä | 4.4 | Ei | Ei | Tiedot |
| CVE-2022-23278 | Microsoft Defender Endpoint Spoofing -haavoittuvuus | Tärkeä | 5.9 | Ei | Ei | Huijausta |
| CVE-2022-23266 | Microsoft Defender for IoT Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-23265 | Microsoft Defender for IoT koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-24463 | Microsoft Exchange Server -huijaushaavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Huijausta |
| CVE-2022-24465 | Microsoft Intune -portaali iOS-tietoturvaominaisuuksien ohitushaavoittuvuus | Tärkeä | 3.3 | Ei | Ei | SFB |
| CVE-2022-24461 | Microsoft Office Vision koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-24509 | Microsoft Office Vision koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-24510 | Microsoft Office Vision koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-24511 | Microsoft Office Wordin peukalointihaavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Peukalointi |
| CVE-2022-24462 | Microsoft Wordin suojausominaisuuden ohitushaavoittuvuus | Tärkeä | 5.5 | Ei | Ei | SFB |
| CVE-2022-23282 | Paint 3D -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-23253 | Point-to-Point-tunnelointiprotokollan palvelunestohaavoittuvuus | Tärkeä | 6.5 | Ei | Ei | DoS |
| CVE-2022-23295 | Raw Image Extension -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-23300 | Raw Image Extension -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-23285 | Remote Desktop Client koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-24503 | Remote Desktop Protocol Client -tietojen paljastamisen haavoittuvuus | Tärkeä | 5.4 | Ei | Ei | Tiedot |
| CVE-2022-24522 | Skypen laajennus Chromelle Tietojen paljastamisen haavoittuvuus | Tärkeä | 7.5 | Ei | Ei | Tiedot |
| CVE-2022-24460 | Tabletin Windows-käyttöliittymän käyttöoikeushaavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-24526 | Visual Studion koodin huijaushaavoittuvuus | Tärkeä | 6.1 | Ei | Ei | Huijausta |
| CVE-2022-24451 | VP9 Video Extensions -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-23283 | Windows ALPC Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-23287 | Windows ALPC Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-24505 | Windows ALPC Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-24507 | Windowsin lisätoimintojen ohjain WinSock Elevation of Privilege -haavoittuvuutta varten | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-24455 | Windowsin CD-ROM-ohjain Elevation of Privilege Vulnerability | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-23286 | Windows Cloud Files Mini Filter -ohjain Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-23281 | Windowsin yleisen lokitiedostojärjestelmän ohjaintietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-23288 | Windows DWM Core Library Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-23291 | Windows DWM Core Library Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-23294 | Windowsin tapahtumien jäljityksen koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-23293 | Windowsin nopean FAT-tiedostojärjestelmän ohjain Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-24502 | Windowsin HTML-alustojen suojausominaisuuden ohitushaavoittuvuus | Tärkeä | 4.3 | Ei | Ei | SFB |
| CVE-2022-21975 | Windows Hyper-V: n palvelunestohaavoittuvuus | Tärkeä | 4.7 | Ei | Ei | DoS |
| CVE-2022-23290 | Windows Inking COM Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-23296 | Windows Installer Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-21973 | Windows Media Center -päivityksen palvelunestohaavoittuvuus | Tärkeä | 5.5 | Ei | Ei | DoS |
| CVE-2022-23297 | Windows NT Lan Managerin Datagram-vastaanottimen ohjaintietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-23298 | Windows NT OS -ytimen käyttöoikeushaavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-23299 | Windows PDEV Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-23284 | Windowsin taustatulostus Elevation of Privilege -haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | EoP |
| CVE-2022-24454 | Windows Security Support Provider Interface Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-24525 | Windows Update Stack Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-0789 | Kromi: Kasan puskurin ylivuoto kulmassa ANGLE | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0797 | Chromium: rajojen ulkopuolinen muistin käyttö Mojossa | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0792 | Chromium: rajojen ulkopuolella, luetaan ANGLE | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0795 | Chromium: Type Confusion in Blink Layout | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0790 | Chromium: Käytä jälkeen ilmaiseksi Cast-käyttöliittymässä | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0796 | Chromium: Käytä jälkeen ilmaiseksi Mediassa | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0791 | Chromium: Käytä jälkeen ilmaiseksi omniboxissa | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0793 | Chromium: Käytä jälkeen ilmaiseksi Viewsissa | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0794 | Chromium: Käytä after free WebSharessa | Korkea | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0800 | Chromium: Keon puskurin ylivuoto Cast-käyttöliittymässä | Keskikokoinen | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0807 | Chromium: Automaattisen täytön sopimaton toteutus | Keskikokoinen | Ei käytössä | Ei | Ei | Tiedot |
| CVE-2022-0802 | Chromium: sopimaton toteutus koko näytön tilassa | Keskikokoinen | Ei käytössä | Ei | Ei | Tiedot |
| CVE-2022-0804 | Chromium: sopimaton toteutus koko näytön tilassa | Keskikokoinen | Ei käytössä | Ei | Ei | Tiedot |
| CVE-2022-0801 | Chromium: sopimaton toteutus HTML-jäsentimissä | Keskikokoinen | Ei käytössä | Ei | Ei | Peukalointi |
| CVE-2022-0803 | Chromium: Sopimaton toteutus käyttöoikeuksissa | Keskikokoinen | Ei käytössä | Ei | Ei | SFB |
| CVE-2022-0799 | Chromium: Riittämätön käytännön valvonta Installerissa | Keskikokoinen | Ei käytössä | Ei | Ei | SFB |
| CVE-2022-0809 | Chromium: WebXR: n muistin käyttö rajojen ulkopuolella | Keskikokoinen | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0805 | Chromium: Käytä sen jälkeen ilmaiseksi Browser Switcherissä | Keskikokoinen | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0808 | Chromium: Käytä after free Chrome OS Shellissä | Keskikokoinen | Ei käytössä | Ei | Ei | RCE |
| CVE-2022-0798 | Chromium: Käytä jälkeen ilmaiseksi MediaStreamissa | Keskikokoinen | Ei käytössä | Ei | Ei | RCE |
Muista, että yksikään bugeista ei ole listattu aktiivisen hyväksikäytön alla tässä kuussa, kun taas kolme on listattu julkisesti tiedossa julkaisuhetkellä.
Nämä ovat kaikki CVE: t, jotka on käsitelty tämän kuun Patch Tuesday -julkaisussa. Kaiken kaikkiaan tämä oli aika raskas mutta turvallinen kuukausi verrattuna aikaisempiin tilanteisiin.
Seuraava päivitystiistai ohjelmistoerä tulee 12. huhtikuuta, ja olemme kaikki uteliaita näkemään, mitä Microsoft keksii siihen asti.
Toivotaan kaikki, että meidän ei tarvitse käsitellä kriittisiä ongelmia, ja siitä lähtien se on vain sujuvaa.
Oliko tästä artikkelista sinulle apua? Jaa mielipiteesi alla olevassa kommenttiosiossa.
