- Melko kiireinen kuukausi Microsoft Patch Tuesday -julkaisulle, jossa on 74 CVE: tä.
- Kaikista CVE: istä10 arvosanaa on kriittinen, 66 tärkeää ja 1 alhainen.
- Olemme sisällyttäneet kaikki tähän artikkeliin, ja niissä on myös suoria linkkejä.
On jo toukokuu ja kaikki katsovat Microsoftia kohti toivoen, että jotkut heidän kamppailemistaan puutteista saadaan vihdoin korjattua.
Olemme jo toimittaneet suorat latauslinkit tänään julkaistuille kumulatiivisille päivityksille Windows 10:lle ja 11:lle, mutta nyt on aika puhua jälleen kriittisistä haavoittuvuuksista ja altistumisesta.
Tässä kuussa Redmondin teknologiajätti julkaisi 74 uutta korjaustiedostoa, mikä on paljon enemmän kuin jotkut ihmiset odottivat heti pääsiäisen jälkeen.
Nämä ohjelmistopäivitykset koskevat CVE: itä seuraavissa maissa:
- Microsoft Windows ja Windows-komponentit
- .NET ja Visual Studio
- Microsoft Edge (Chromium-pohjainen)
- Microsoft Exchange Server
- Toimisto ja toimistokomponentit
- Windows Hyper-V
- Windowsin todennusmenetelmät
- BitLocker
- Windows Cluster Shared Volume (CSV)
- Remote Desktop Client
- Windowsin verkkotiedostojärjestelmä
- NTFS
- Windowsin pisteestä pisteeseen tunnelointiprotokolla
Tässä kuussa tunnistettiin ja käsiteltiin 74 CVE: tä
Ei kiireisin, mutta ei myöskään kevyin kuukausi Microsoftin tietoturva-asiantuntijoille. Saatat haluta tietää, että 74:stä julkaistusta uudesta CVE: stä 7 on luokiteltu kriittisiksi, 66 on luokiteltu tärkeäksi ja yksi on luokiteltu matalaksi.
| CVE | Otsikko | Vakavuus | CVSS | Julkinen | Hyödynnetty | Tyyppi |
| CVE-2022-26925 | Windows LSA -huijaushaavoittuvuus | Tärkeä | 8.1 | Joo | Joo | Huijausta |
| CVE-2022-29972 | Insight-ohjelmisto: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC -ohjain | Kriittinen | Ei käytössä | Joo | Ei | RCE |
| CVE-2022-22713 | Windows Hyper-V: n palvelunestohaavoittuvuus | Tärkeä | 5.6 | Joo | Ei | DoS |
| CVE-2022-26923 | Active Directory Domain Services Elevation of Privilege -haavoittuvuus | Kriittinen | 8.8 | Ei | Ei | EoP |
| CVE-2022-21972 | Point-to-Point Tunneling Protocol -koodin etäsuorittamisen haavoittuvuus | Kriittinen | 8.1 | Ei | Ei | RCE |
| CVE-2022-23270 | Point-to-Point Tunneling Protocol -koodin etäsuorittamisen haavoittuvuus | Kriittinen | 8.1 | Ei | Ei | RCE |
| CVE-2022-22017 | Remote Desktop Client koodin etäsuorittamisen haavoittuvuus | Kriittinen | 8.8 | Ei | Ei | RCE |
| CVE-2022-26931 | Windows Kerberos Elevation of Privilege -haavoittuvuus | Kriittinen | 7.5 | Ei | Ei | EoP |
| CVE-2022-26937 | Windowsin verkkotiedostojärjestelmän koodin etäsuorittamisen haavoittuvuus | Kriittinen | 9.8 | Ei | Ei | RCE |
| CVE-2022-23267 | .NET- ja Visual Studio -palvelunestohaavoittuvuus | Tärkeä | 7.5 | Ei | Ei | DoS |
| CVE-2022-29117 | .NET- ja Visual Studio -palvelunestohaavoittuvuus | Tärkeä | 7.5 | Ei | Ei | DoS |
| CVE-2022-29145 | .NET- ja Visual Studio -palvelunestohaavoittuvuus | Tärkeä | 7.5 | Ei | Ei | DoS |
| CVE-2022-29127 | BitLockerin suojausominaisuuden ohitushaavoittuvuus | Tärkeä | 4.2 | Ei | Ei | SFB |
| CVE-2022-29109 | Microsoft Excelin koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-29110 | Microsoft Excelin koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-21978 | Microsoft Exchange Server Elevation of Privilege -haavoittuvuus | Tärkeä | 8.2 | Ei | Ei | EoP |
| CVE-2022-29107 | Microsoft Office Security Feature Bypass -haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | SFB |
| CVE-2022-29108 | Microsoft SharePoint Server -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-29105 | Microsoft Windows Media Foundationin koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-26940 | Remote Desktop Protocol Client -tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-22019 | Remote Procedure Call Runtime Remote Code Execution haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-26932 | Tallennustilojen suora etuoikeushaavoittuvuus | Tärkeä | 8.2 | Ei | Ei | EoP |
| CVE-2022-26938 | Tallennustilojen suora etuoikeushaavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-26939 | Tallennustilojen suora etuoikeushaavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29126 | Tabletin Windows-käyttöliittymän sovellusydin Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-30129 | Visual Studio Coden koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-29148 | Visual Studion koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-26926 | Windowsin osoitekirjan koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-23279 | Windows ALPC Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-26913 | Windowsin todennuksen suojausominaisuuden ohitushaavoittuvuus | Tärkeä | 7.4 | Ei | Ei | SFB |
| CVE-2022-29135 | Windows Cluster Shared Volume (CSV) Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29150 | Windows Cluster Shared Volume (CSV) Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29151 | Windows Cluster Shared Volume (CSV) Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29138 | Windows Clustered Shared Volume Elevation of Privilege Haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29120 | Windowsin klusteroitujen jaetun volyymin tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-29122 | Windowsin klusteroitujen jaetun volyymin tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-29123 | Windowsin klusteroitujen jaetun volyymin tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-29134 | Windowsin klusteroitujen jaetun volyymin tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-29113 | Windows Digital Media Receiver Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-29102 | Windowsin vikasietoklusterin tietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-29115 | Windowsin faksipalvelun koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-22011 | Windowsin grafiikkakomponenttien tietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-26934 | Windowsin grafiikkakomponenttien tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-29112 | Windowsin grafiikkakomponenttien tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-26927 | Windowsin grafiikkakomponentin koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-24466 | Windows Hyper-V -suojausominaisuuden ohitusheikkous | Tärkeä | 4.1 | Ei | Ei | SFB |
| CVE-2022-29106 | Windows Hyper-V Shared Virtual Disk Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29133 | Windows-ytimen käyttöoikeuksien korotushaavoittuvuus | Tärkeä | 8.8 | Ei | Ei | EoP |
| CVE-2022-29142 | Windows-ytimen käyttöoikeuksien korotushaavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29116 | Windows-ytimen tietojen paljastamisen haavoittuvuus | Tärkeä | 4.7 | Ei | Ei | Tiedot |
| CVE-2022-22012 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 9.8 | Ei | Ei | RCE |
| CVE-2022-22013 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-22014 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-29128 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-29129 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-29130 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 9.8 | Ei | Ei | RCE |
| CVE-2022-29131 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-29137 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-29139 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-29141 | Windowsin LDAP-koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | RCE |
| CVE-2022-26933 | Windowsin NTFS-tietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-22016 | Windows PlayToManager Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29104 | Windowsin taustatulostus Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-29132 | Windowsin taustatulostus Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-29114 | Windowsin taustatulostuksen tietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-29140 | Windowsin taustatulostuksen tietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-29125 | Windows Push Notifications Apps Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-29103 | Windows Remote Access Connection Manager Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-26930 | Windows Remote Access Connection Manager -tietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-22015 | Windows Remote Desktop Protocol (RDP) -tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-26936 | Windows Server -palvelun tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-29121 | Windows WLAN AutoConfig Service Palvelunesto-haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | DoS |
| CVE-2022-26935 | Windowsin WLAN AutoConfig -palvelun tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-30130 | .NET Frameworkin palveluneston haavoittuvuus | Matala | 3.3 | Ei | Ei | DoS |
Kaikista kriittisiksi luokitelluista korjaustiedostoista on kaksi, jotka vaikuttavat PPTP (Point-to-Point Tunneling Protocol) -protokollan Windows-toteutukseen, mikä saattaa sallia RCE: n.
Teknologiajätti totesi, että hyökkääjän olisi voitettava kilpailuehto voidakseen hyödyntää näitä vikoja menestyksekkäästi, mutta kaikki kilpailuolosuhteet eivät ole identtisiä.
Microsoft Kerberosissa on myös Critical Rated Elevation of Privilege (EoP) -virhe, mutta lisätietoja ei tällä hetkellä anneta.
Seuraava korjaustiedoston tiistaina julkaistaan 10. toukokuuta, joten älä ole liian tyytyväinen nykyiseen tilanteeseen, sillä se voi muuttua nopeammin kuin uskotkaan.
Oliko tästä artikkelista sinulle apua? Jaa mielipiteesi alla olevassa kommenttiosiossa.
