- Heinäkuulle 2022 Microsoft julkaisi pitkän luettelon 84:stä uusia tietoturvapäivityksiä.
- Kaikista CVE: stä5 on kriittisiä, ja niistä 80 on listattu tärkeiksi.
- Olemme sisällyttäneet kaikki tähän artikkeliin sekä suorat linkit
Jos tunnet olosi hieman epämukavaksi, se johtuu siitä, että olemme jo heinäkuussa ja lämpötilat alkavat hitaasti rakentaa meitä toimistoihimme.
Windows-käyttäjät kuitenkin odottavat Microsoftia toivoen, että jotkut heidän kamppailemistaan puutteista saadaan vihdoin korjattua.
Olemme jo toimittaneet suorat latauslinkit tänään julkaistuille kumulatiivisille päivityksille Windows 10:lle ja 11:lle, mutta nyt on aika puhua jälleen kriittisistä haavoittuvuuksista ja altistumisesta.
Tässä kuussa Redmondin teknologiajätti julkaisi 84 uutta korjaustiedostoa, mikä on paljon enemmän kuin jotkut ihmiset odottivat heti pääsiäisen jälkeen.
Nämä ohjelmistopäivitykset koskevat CVE: itä seuraavissa maissa:
- Microsoft Windows ja Windows-komponentit
- Windows Azure -komponentit
- Microsoft Defender Endpointille
- Microsoft Edge (Chromium-pohjainen)
- Toimisto ja toimistokomponentit
- Windows BitLocker
- Windows Hyper-V
- Skype for Business ja Microsoft Lync
- Avoimen lähdekoodin ohjelmisto
- Xbox
Microsoft tarjoaa korjauksia 84 virheeseen heinäkuussa 2022
On melko turvallista sanoa, että tämä ei ollut kiireisin tai kevyin kuukausi Redmond-tietoturvaasiantuntijoille.
Saatat haluta tietää, että julkaistusta 84 uudesta CVE: stä 4 on luokiteltu kriittisiksi ja loput (80) on luokiteltu tärkeiksi.
Puhumme 52:sta käyttöoikeuksien korotushaavoittuvuudesta, 4:stä suojausominaisuuksien ohitushaavoittuvuudesta, 12:sta koodin etäsuorittamisen haavoittuvuudet, 11 tietojen paljastamisen haavoittuvuutta ja 5 palvelunestoa haavoittuvuuksia
| CVE | Otsikko | Vakavuus | CVSS | Julkinen | Hyödynnetty | Tyyppi |
| CVE-2022-22047 | Windowsin CSRSS Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Joo | EoP |
| CVE-2022-22038 | Remote Procedure Call Runtime Remote Code Execution haavoittuvuus | Kriittinen | 8.1 | Ei | Ei | RCE |
| CVE-2022-30221 | Windowsin grafiikkakomponentin koodin etäsuorittamisen haavoittuvuus | Kriittinen | 8.8 | Ei | Ei | RCE |
| CVE-2022-22029 | Windowsin verkkotiedostojärjestelmän koodin etäsuorittamisen haavoittuvuus | Kriittinen | 8.1 | Ei | Ei | RCE |
| CVE-2022-22039 | Windowsin verkkotiedostojärjestelmän koodin etäsuorittamisen haavoittuvuus | Kriittinen | 7.5 | Ei | Ei | RCE |
| CVE-2022-30215 | Active Directory Federation Services Elevation of Privilege -haavoittuvuus | Tärkeä | 7.5 | Ei | Ei | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 AMD CPU Branch Type Sekaannusta | Tärkeä | Ei käytössä | Ei | Ei | Tiedot |
| CVE-2022-23825 * | AMD: CVE-2022-23825 AMD CPU Branch Type Sekaannus | Tärkeä | Ei käytössä | Ei | Ei | Tiedot |
| CVE-2022-30181 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33641 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33642 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33643 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33650 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33651 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33652 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.4 | Ei | Ei | EoP |
| CVE-2022-33653 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33654 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33655 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33656 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33657 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33658 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.4 | Ei | Ei | EoP |
| CVE-2022-33659 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33660 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33661 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33662 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33663 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33664 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33665 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33666 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33667 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33668 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33669 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33671 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 4.9 | Ei | Ei | EoP |
| CVE-2022-33672 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33673 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | EoP |
| CVE-2022-33674 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 8.3 | Ei | Ei | EoP |
| CVE-2022-33675 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-33677 | Azure Site Recovery Elevation of Privilege -haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | EoP |
| CVE-2022-33676 | Azure Site Recovery -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-33678 | Azure Site Recovery -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-30187 | Azure Storage Libraryn tietojen paljastamisen haavoittuvuus | Tärkeä | 4.7 | Ei | Ei | Tiedot |
| CVE-2022-22048 | BitLockerin suojausominaisuuden ohitushaavoittuvuus | Tärkeä | 6.1 | Ei | Ei | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Riittämättömästi suojattu tunnistetietojen haavoittuvuus saattaa vuotaa todennus- tai evästeen otsikkotietoja | Tärkeä | Ei käytössä | Ei | Ei | Tiedot |
| CVE-2022-22040 | Internet Information Services Dynamic Compression Module Denial of Service -haavoittuvuus | Tärkeä | 7.3 | Ei | Ei | DoS |
| CVE-2022-33637 | Microsoft Defender Endpointin peukaloinnin haavoittuvuuden varalta | Tärkeä | 6.5 | Ei | Ei | Peukalointi |
| CVE-2022-33632 | Microsoft Office Security Feature Bypass -haavoittuvuus | Tärkeä | 4.7 | Ei | Ei | SFB |
| CVE-2022-22036 | Windows Elevation of Privilege -haavoittuvuuden suorituskykylaskurit | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-33633 | Skype for Business ja Lync koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.2 | Ei | Ei | RCE |
| CVE-2022-22037 | Windows Advanced Local Procedure Call Elevation of Privilege -haavoittuvuus | Tärkeä | 7.5 | Ei | Ei | EoP |
| CVE-2022-30202 | Windows Advanced Local Procedure Call Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-30224 | Windows Advanced Local Procedure Call Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-22711 | Windows BitLockerin tietojen paljastamisen haavoittuvuus | Tärkeä | 6.7 | Ei | Ei | Tiedot |
| CVE-2022-30203 | Windows Boot Managerin suojausominaisuuden ohitushaavoittuvuus | Tärkeä | 7.4 | Ei | Ei | SFB |
| CVE-2022-30220 | Windowsin yleisen lokitiedostojärjestelmän ohjain Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-30212 | Windows Connected Devices Platform -palvelun tietojen paljastamisen haavoittuvuus | Tärkeä | 4.7 | Ei | Ei | Tiedot |
| CVE-2022-22031 | Windows Credential Guard -verkkotunnukseen liitetty julkisen avaimen käyttöoikeushaavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-22026 | Windowsin CSRSS Elevation of Privilege -haavoittuvuus | Tärkeä | 8.8 | Ei | Ei | EoP |
| CVE-2022-22049 | Windowsin CSRSS Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-30214 | Windowsin DNS-palvelimen koodin etäsuorittamisen haavoittuvuus | Tärkeä | 6.6 | Ei | Ei | RCE |
| CVE-2022-22043 | Windowsin nopean FAT-tiedostojärjestelmän ohjain Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-22050 | Windows Fax Service Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-22024 | Windowsin faksipalvelun koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-22027 | Windowsin faksipalvelun koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | RCE |
| CVE-2022-30213 | Windows GDI+:n tietojen paljastamisen haavoittuvuus | Tärkeä | 5.5 | Ei | Ei | Tiedot |
| CVE-2022-22034 | Windows Graphics Component Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-30205 | Windows Group Policy Elevation of Privilege -haavoittuvuus | Tärkeä | 6.6 | Ei | Ei | EoP |
| CVE-2022-22042 | Windows Hyper-V: n tietojen paljastamisen haavoittuvuus | Tärkeä | 6.5 | Ei | Ei | Tiedot |
| CVE-2022-30223 | Windows Hyper-V: n tietojen paljastamisen haavoittuvuus | Tärkeä | 5.7 | Ei | Ei | Tiedot |
| CVE-2022-30209 | Windows IIS Server Elevation of Privilege -haavoittuvuus | Tärkeä | 7.4 | Ei | Ei | EoP |
| CVE-2022-22025 | Windows Internet Information Services Cachuri -moduulin palvelunestohaavoittuvuus | Tärkeä | 7.5 | Ei | Ei | DoS |
| CVE-2022-21845 | Windows-ytimen tietojen paljastamisen haavoittuvuus | Tärkeä | 4.7 | Ei | Ei | Tiedot |
| CVE-2022-30211 | Windows Layer 2 Tunneling Protocol (L2TP) -koodin etäsuorittamisen haavoittuvuus | Tärkeä | 7.5 | Ei | Ei | RCE |
| CVE-2022-30225 | Windows Media Playerin verkkojakopalvelu Elevation of Privilege -haavoittuvuus | Tärkeä | 7.1 | Ei | Ei | EoP |
| CVE-2022-22028 | Windowsin verkkotiedostojärjestelmän tietojen paljastamisen haavoittuvuus | Tärkeä | 5.9 | Ei | Ei | Tiedot |
| CVE-2022-22023 | Windows Portable Device Enumerator Service suojausominaisuuden ohitushaavoittuvuus | Tärkeä | 6.6 | Ei | Ei | SFB |
| CVE-2022-22022 | Windowsin taustatulostus Elevation of Privilege -haavoittuvuus | Tärkeä | 7.1 | Ei | Ei | EoP |
| CVE-2022-22041 | Windowsin taustatulostus Elevation of Privilege -haavoittuvuus | Tärkeä | 6.8 | Ei | Ei | EoP |
| CVE-2022-30206 | Windowsin taustatulostus Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-30226 | Windowsin taustatulostus Elevation of Privilege -haavoittuvuus | Tärkeä | 7.1 | Ei | Ei | EoP |
| CVE-2022-30208 | Windows Security Account Managerin (SAM) palvelunestohaavoittuvuus | Tärkeä | 6.5 | Ei | Ei | DoS |
| CVE-2022-30216 | Windows Server -palvelun peukalointihaavoittuvuus | Tärkeä | 8.8 | Ei | Ei | Peukalointi |
| CVE-2022-30222 | Windows Shellin koodin etäsuorittamisen haavoittuvuus | Tärkeä | 8.4 | Ei | Ei | RCE |
| CVE-2022-22045 | Windows. Laitteet. Picker.dll Elevation of Privilege -haavoittuvuus | Tärkeä | 7.8 | Ei | Ei | EoP |
| CVE-2022-33644 | Xbox Live Save Service Elevation of Privilege -haavoittuvuus | Tärkeä | 7 | Ei | Ei | EoP |
| CVE-2022-2294 * | Kromi: CVE-2022-2294 Keon puskurin ylivuoto WebRTC: ssä | Korkea | Ei käytössä | Ei | Joo | RCE |
| CVE-2022-2295 * | Kromi: CVE-2022-2295 Type Confusion V8:ssa | Korkea | Ei käytössä | Ei | Ei | RCE |
Muista, että tämän kuun korjauspäivitysten päivitykset korjaavat aktiivisesti hyödynnetyn nollapäivän käyttöoikeuksien korotushaavoittuvuuden.
Yritys luokitteli haavoittuvuuden nollapäiväksi, jos se julkistetaan tai sitä käytetään aktiivisesti ilman virallista korjausta saatavilla.
Selvyyden vuoksi tänään korjattua aktiivisesti hyödynnettyä nollapäivän haavoittuvuutta jäljitetään nimellä CVE-2022-22047 – Windows CSRSS Elevation of Privilege Vulnerability.
Sitä hyödyntämällä haitallinen kolmas osapuoli voi itse asiassa saada JÄRJESTELMÄN oikeudet, kuten Microsoftin tietoturvaasiantuntijat ovat neuvoneet tämän äskettäisen julkaisun kautta.
Yhtä tärkeää on myös muistaa, että tämän kuun julkaisussa on kolme korjausta palvelunestovirheisiin (DoS), jotka kaikki ovat vaikuttavia.
Ja 52 EoP-virheen korjauksesta 30 koskee Azure Site Recovery -virheitä, joista yhden oletetaan olevan aktiivisen hyökkäyksen kohteena.
Tulevaisuudessa seuraava Patch Tuesday -tietoturvapäivitys julkaistaan 9. elokuuta, mikä on hieman aikaisemmin kuin jotkut odottivat.
Oletko löytänyt muita ongelmia tämän kuun tietoturvapäivitysten asentamisen jälkeen? Jaa mielipiteesi alla olevassa kommenttiosiossa.
